快捷導(dǎo)航

SpringBoot項(xiàng)目的漏洞修復(fù)經(jīng)驗(yàn)分享

更新時(shí)間：2024年10月08日 08:44:37 作者：上任碼農(nóng)

在局域網(wǎng)環(huán)境下,由于無(wú)法連接外網(wǎng)下載Maven包,常見(jiàn)解決方案是在外網(wǎng)環(huán)境搭建相同的開(kāi)發(fā)環(huán)境以便更新Maven包,本次漏洞掃描包括Tomcat、jackson-databind、fastjson、logback等組件,通常解決方法是升級(jí)到更高版本

SpringBoot項(xiàng)目的漏洞修復(fù)經(jīng)驗(yàn)

說(shuō)明

開(kāi)發(fā)環(huán)境屬于局域網(wǎng)環(huán)境，與外網(wǎng)不通

導(dǎo)致下載maven包時(shí)會(huì)遇到各種版本依賴(lài)問(wèn)題

最好的辦法就是在外網(wǎng)環(huán)境搭建一套一樣的開(kāi)發(fā)環(huán)境，這樣便于更新maven包

本次漏洞掃描涉及到的漏洞有

Tomcat、jackson-databind、fastjson、logback等，普遍解決方法都是通過(guò)升級(jí)版本。

1、Tomcat版本升級(jí)

（1）查看當(dāng)前Tomcat版本，可以通過(guò)項(xiàng)目啟動(dòng)的日志可以看到；還有一種方法是通過(guò)idea編輯器右邊導(dǎo)航欄中的Maven中的dependencies，查看Tomcat的版本。

（2）在父pom.xml文件中更新spring-boot-starter-parent版本，其中spring-boot-starter-parent版本對(duì)應(yīng)的Tomcat版本可以在maven資源庫(kù)中搜索得到https://mvnrepository.com/。

2、jackson-databind版本升級(jí)

（1）查看當(dāng)前版本的jackson-databind可以通過(guò)idea編輯器右邊導(dǎo)航欄中的Maven中的dependencies，查看jackson-databind版本。

（2）在父pom.xml中添加

<properties>
	<jackson.version>${所需的jackson版本}</jackson.version>
</properties>

3、fastjson版本升級(jí)

（1）這個(gè)升級(jí)就比較簡(jiǎn)單了，在pom.xml中找到對(duì)應(yīng)的fastjson依賴(lài)，修改版本即可。

4、logback版本升級(jí)

（1）HIDS掃描的漏洞顯示的是logback-classic版本有問(wèn)題，故只需升級(jí)logback-classic版本即可。

（2）在pom.xml文件中添加內(nèi)容如下：

<dependency>
	<groupId>ch.qos.logback</groupId>
	<artifactId>logback-classic</artifactId>
	<version>${所需版本號(hào)}</version>
</dependency>

總結(jié)

以上為個(gè)人經(jīng)驗(yàn)，希望能給大家一個(gè)參考，也希望大家多多支持腳本之家。

您可能感興趣的文章:

相關(guān)文章

Spring Boot項(xiàng)目添加外部Jar包以及配置多數(shù)據(jù)源的完整步驟
這篇文章主要給大家介紹了關(guān)于Spring Boot項(xiàng)目添加外部Jar包以及配置多數(shù)據(jù)源的相關(guān)資料，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2020-06-06
一篇文章帶你了解JAVA面對(duì)對(duì)象應(yīng)用
Java是一門(mén)面向?qū)ο蟮恼Z(yǔ)言。對(duì)象是Java程序中的基本實(shí)體。除了對(duì)象之外Java程序同樣處理基本數(shù)據(jù)。下面這篇文章主要給大家總結(jié)了關(guān)于Java中面向?qū)ο蟮闹R(shí)點(diǎn)，需要的朋友可以參考借鑒，下面來(lái)一起看看吧
2021-08-08
Java中的SynchronousQueue阻塞隊(duì)列及使用場(chǎng)景解析
這篇文章主要介紹了Java中的SynchronousQueue阻塞隊(duì)列及使用場(chǎng)景解析,SynchronousQueue 是 Java 中的一個(gè)特殊的阻塞隊(duì)列,它的主要特點(diǎn)是它的容量為0,這意味著 SynchronousQueue不會(huì)存儲(chǔ)任何元素,需要的朋友可以參考下
2023-12-12
解讀synchronized鎖的釋放機(jī)制
這篇文章主要介紹了synchronized鎖的釋放機(jī)制,具有很好的參考價(jià)值,希望對(duì)大家有所幫助,如有錯(cuò)誤或未考慮完全的地方,望不吝賜教
2025-04-04
SpringBoot中的FailureAnalyzer使用詳解
這篇文章主要介紹了SpringBoot中的FailureAnalyzer使用詳解,Spring Boot的FailureAnalyzer是一個(gè)接口,它用于在Spring Boot應(yīng)用啟動(dòng)失敗時(shí)提供有關(guān)錯(cuò)誤的詳細(xì)信息,這對(duì)于開(kāi)發(fā)者來(lái)說(shuō)非常有用,因?yàn)樗梢詭椭覀兛焖僮R(shí)別問(wèn)題并找到解決方案,需要的朋友可以參考下
2023-12-12
詳解idea文件右鍵創(chuàng)建New沒(méi)有Create New Servlet的解決辦法
這篇文章主要介紹了詳解idea文件右鍵創(chuàng)建New沒(méi)有Create New Servlet的解決辦法，文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面隨著小編來(lái)一起學(xué)習(xí)學(xué)習(xí)吧
2020-12-12
Java下http下載文件客戶(hù)端和上傳文件客戶(hù)端實(shí)例代碼
這篇文章主要介紹了Java下http下載文件客戶(hù)端和上傳文件客戶(hù)端實(shí)例代碼,非常不錯(cuò)，具有參考借鑒價(jià)值，需要的朋友可以參考下
2017-12-12
Java開(kāi)發(fā)常見(jiàn)異常及解決辦法詳解
這篇文章主要介紹了java程序常見(jiàn)異常及處理匯總,文中通過(guò)示例代碼介紹的非常詳細(xì)，對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下
2021-09-09
Mybatis控制臺(tái)打印Sql語(yǔ)句的實(shí)現(xiàn)代碼
MyBatis是一個(gè)支持普通SQL查詢(xún)，存儲(chǔ)過(guò)程和高級(jí)映射的優(yōu)秀持久層框架，下面給大家介紹Mybatis控制臺(tái)打印Sql語(yǔ)句的實(shí)現(xiàn)代碼，非常不錯(cuò)，感興趣的朋友一起看下吧
2016-07-07
idea啟動(dòng)報(bào)錯(cuò):Command line is too long問(wèn)題
在使用IDEA時(shí),若遇到"Commandlineistoolong"錯(cuò)誤,通常是因?yàn)槊钚虚L(zhǎng)度超限,這是因?yàn)镮DEA通過(guò)命令行或文件將classpath傳遞至JVM,操作系統(tǒng)對(duì)命令行長(zhǎng)度有限制,解決方法是切換至動(dòng)態(tài)類(lèi)路徑,通過(guò)修改項(xiàng)目的workspace.xml文件
2024-09-09