28個(gè)SpringBoot項(xiàng)目中常用注解,日常開發(fā)、求職面試不再懵圈
前言在使用SpringBoot開發(fā)中或者在求職面試中都會(huì)使用到很多注解或者問到注解相關(guān)的知識(shí)。本文主要對(duì)一些常用的注解進(jìn)行了總結(jié),同時(shí)也會(huì)舉出具體例子,供大家學(xué)習(xí)和參考。注解
11 月 16 日消息,安全公司 Claroty發(fā)布報(bào)告,曝光了一款海外流行的物聯(lián)網(wǎng)設(shè)備云端管理平臺(tái) Ovr 內(nèi)含的一系列重大漏洞。安全公司聲稱黑客可以接連利用這些漏洞實(shí)現(xiàn)在物聯(lián)網(wǎng)設(shè)備上遠(yuǎn)程執(zhí)行惡意代碼,而根據(jù) CVSS 風(fēng)險(xiǎn)評(píng)估,部分曝光的漏洞風(fēng)險(xiǎn)評(píng)分高達(dá) 9.2(滿分 10 分)。
據(jù)悉,OvrC 物聯(lián)網(wǎng)平臺(tái)的主要功能是通過移動(dòng)應(yīng)用或基于 Web Socket 的界面為用戶提供遠(yuǎn)程配置管理、運(yùn)行狀態(tài)監(jiān)控等服務(wù)。自動(dòng)化公司 SnapOne 在 2014 年收購(gòu)了該平臺(tái),在 2020 年聲稱 OvrC 已擁有約 920 萬(wàn)臺(tái)設(shè)備,而如今該平臺(tái)預(yù)計(jì)坐擁 1000 萬(wàn)臺(tái)設(shè)備。
IT酷哥參考安全報(bào)告獲悉,相關(guān)漏洞主要包括輸入驗(yàn)證不足、不當(dāng)?shù)脑L問控制、敏感信息以明文傳輸、數(shù)據(jù)完整性驗(yàn)證不足、開放式重定向、硬編碼密碼、繞過身份驗(yàn)證等,此類漏洞大多源于設(shè)備與云端接口的安全設(shè)計(jì)缺陷,黑客可利用漏洞繞過防火墻,避開網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT)等安全機(jī)制,從而在平臺(tái)設(shè)備上運(yùn)行惡意代碼。
參考 CVSS 風(fēng)險(xiǎn)評(píng)分,4 個(gè)被評(píng)為高危的漏洞分別是:輸入驗(yàn)證不足漏洞 CVE-2023-28649、不當(dāng)訪問控制漏洞 CVE-2023-31241、數(shù)據(jù)完整性驗(yàn)證不足漏洞 CVE-2023-28386,以及關(guān)鍵功能缺乏認(rèn)證漏洞 CVE-2024-50381,這些漏洞的評(píng)分在 9.1 至 9.2 之間。
關(guān)于漏洞的具體利用方式,研究人員指出,黑客可以先利用 CVE-2023-28412 漏洞獲取所有受管設(shè)備的列表,再通過 CVE-2023-28649 和 CVE-2024-50381 漏洞強(qiáng)制設(shè)備進(jìn)入“未聲明所有權(quán)”(Unclaim)狀態(tài)。隨后黑客即可利用 CVE-2023-31241 漏洞將 MAC 地址與設(shè)備 ID 匹配,并通過設(shè)備 ID 重新聲明設(shè)備所有權(quán),最終實(shí)現(xiàn)遠(yuǎn)程執(zhí)行代碼。
值得注意的是,在研究人員報(bào)告后,大部分問題已于去年 5 月被修復(fù),但仍有兩個(gè)漏洞直到本月才得到解決,目前,該平臺(tái)已完全修復(fù)相應(yīng)漏洞。
本文鏈接:http://www.www897cc.com/showinfo-26-126000-0.html海外流行物聯(lián)網(wǎng)云平臺(tái) OvrC 曝一系列重大漏洞,黑客可遠(yuǎn)程執(zhí)行惡意代碼
聲明:本網(wǎng)頁(yè)內(nèi)容旨在傳播知識(shí),若有侵權(quán)等問題請(qǐng)及時(shí)與本網(wǎng)聯(lián)系,我們將在第一時(shí)間刪除處理。郵件:2376512515@qq.com
Copyright ? 2016-2023 天津谷騏科技有限公司 版權(quán)所有 sitemap.xml
違法及侵權(quán)請(qǐng)聯(lián)系:2376512515@qq.com 津ICP備18001702號(hào)
津公網(wǎng)安備 12010102000574號(hào)