SpringBoot项目的漏洞修复经验分享
作者:上任码农
在局域网环境下,由于无法连接外网下载Maven包,常见解决方案是在外网环境搭建相同的开发环境以便更新Maven包,本次漏洞扫描包括Tomcat、jackson-databind、fastjson、logback等组件,通常解决方法是升级到更高版本
SpringBoot项目的漏洞修复经验
说明
开发环境属于局域网环境,与外网不通
导致下载maven包时会遇到各种版本依赖问题
最好的办法就是在外网环境搭建一套一样的开发环境,这样便于更新maven包
本次漏洞扫描涉及到的漏洞有
Tomcat、jackson-databind、fastjson、logback等,普遍解决方法都是通过升级版本。
1、Tomcat版本升级
(1)查看当前Tomcat版本,可以通过项目启动的日志可以看到;还有一种方法是通过idea编辑器右边导航栏中的Maven中的dependencies,查看Tomcat的版本。
(2)在父pom.xml文件中更新spring-boot-starter-parent版本,其中spring-boot-starter-parent版本对应的Tomcat版本可以在maven资源库中搜索得到https://mvnrepository.com/。
2、jackson-databind版本升级
(1)查看当前版本的jackson-databind可以通过idea编辑器右边导航栏中的Maven中的dependencies,查看jackson-databind版本。
(2)在父pom.xml中添加
<properties>
<jackson.version>${所需的jackson版本}</jackson.version>
</properties>3、fastjson版本升级
(1)这个升级就比较简单了,在pom.xml中找到对应的fastjson依赖,修改版本即可。
4、logback版本升级
(1)HIDS扫描的漏洞显示的是logback-classic版本有问题,故只需升级logback-classic版本即可。
(2)在pom.xml文件中添加内容如下:
<dependency>
<groupId>ch.qos.logback</groupId>
<artifactId>logback-classic</artifactId>
<version>${所需版本号}</version>
</dependency>总结
以上为个人经验,希望能给大家一个参考,也希望大家多多支持脚本之家。