Yoo趣儿

Yoo趣儿 Geek 程序员 应用程序漏洞扫描的原理是什么?

应用程序漏洞扫描的原理是什么?

查看 90|回复 6
作者:brand   
我开发的一个 springboot 的 web 应用程序,通过 pom 文件引入了一些外部的 jar ,但是被客户方扫描出来有一些 jar 包有漏洞。
比如这个 jar 包( fastjson-2.0.14.jar )有漏洞,而我刚好用到了这个 jar 包。https://mvnrepository.com/artifact/com.alibaba/fastjson/2.0.14
就需要更新这个 jar 包,然后给客户方更新,但是引入了这么多的 jar 包,三天两头更新也不是个办法。
我想知道漏洞扫描的原理,他是如何知道我用了这个版本的 jar 包?
如果他只是扫描这个包的版本号,然后和漏洞库的版本号进行比对,我是否可以通过修改引入的 jar 包名称和隐藏版本号信息,就可以避免被扫描出来漏洞。
XiLingHost   
那不就是掩耳盗铃吗,改个版本号漏洞照样存在啊
zuoyou12138   
正经的漏扫肯定不会只匹配版本好,会根据指纹信息,调用漏洞 poc 发请求,通过返回包判断漏洞,也不排除一些甲方为了省钱买比较 low 的漏扫
Caratpine   
fastjson 这种很多扫描器确实是通过判断版本号来识别漏洞的。
once1mo   
漏洞扫描一般两种方式,
once1mo   
@once1mo
1. 通过版本号匹配,这种方式挺常见的,但是有误报和漏报。例如打了 patch ,或者像你说的改了版本号;
2. 通过 poc 验证,这种会实际打攻击,看是否真实存在漏洞;
除了漏洞检测的的原理,也要看是通过什么方式做的漏洞检测,例如远程扫描,通过网络流量包确认,rasp 注入到应用内等等
fengpan567   
你的打的包都会包含依赖的 jar ,扫下文件不就知道了
返回列表
您需要登录后才可以回帖 登录 | 立即注册

AD1

热门主题

热门板块

问与答分享发现分享创造奇思妙想分享邀请码商业推广优惠信息PythonPHPJavaJavaScriptNode.jsGo语言C++HTML

公告

标签|小黑屋|Yoo趣儿

GMT+8, 2025-1-18 16:49 , Processed in 0.014504 second(s), 12 queries , Gzip On, MemCached On.

Powered by Discuz! X3.2

The happiest thing in the world is to strive for an ideal.

返回顶部