Apache JMeter 安全限制绕过漏洞（CVE-2018-1287）

daosecurity

2018-03-05

Apache JMeter 安全限制绕过漏洞（CVE-2018-1287）

发布日期：2018-02-14
更新日期：2018-03-05

受影响系统：

Apache Group JMeter 3.x
Apache Group JMeter 2.x

描述：

BUGTRAQ ID: 103068
CVE(CAN) ID: CVE-2018-1287

Apache JMeter是Apache组织开发的基于Java的压力测试工具。

Apache JMeter 2.X及3.X版本，仅使用Distributed Test时，jmeter服务器绑定RMI Registry到wildcard host，这可使远程攻击者访问JMeterEngine，并发送未授权代码。

<*来源：Brenden Meeder
*>

建议：

厂商补丁：

Apache Group
------------
目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载：

https://www.apache.org/security/projects.html
http://mail-archives.apache.org/mod_mbox/www-announce/201802.mbox/%3CCAH9fUpYsFx1%2Brwz1A%3Dmc7wAgbDHARyj1VrWNg41y9OySuL1mqw%40mail.gmail.com%3E

daosecurity

0 关注 0 粉丝 0 动态

相关推荐

Jmeter之JSON提取器应用

在接口测试中有一个这样的场景：登录之后，需要进行昵称修改，怎么实现？以上业务中补充一点，昵称修改，还需要添加请求头Authorization传登录获取的token值。因为返回数据格式是json，所以我们用JSON提取器来实现。用正则表达式提取器也可以，大家

singebogo 2020-09-23

jmeter安装记录

5.编辑名称为Path的这个属性，新建如下3个值%JMETER_HOME%\bin%JAVA_HOME%\bin%JAVA_HOME%\jre\bin

84226432 2020-08-19

jmeter连接数据库并使用

Variable Name：自定义参数，在JDBC Request中会用到；Database URL：jdbc:mysql:// 数据库IP地址:数据库端口/数据库名称；Username：数据库用户名；Password：数据库密码；

Cherishyuu 2020-08-19

Jmeter修改字体大小

建议不要直接去掉#来修改，而是在下面重新写，我这里使用的是18号字。这里调整的是jmeter中的字体，我这里使用的是1.2，数字越大，字体越大。

TesterJingel 2020-08-18

使用Jmeter进行接口测试

在请求参数格式为json，token通过cookie传值时，cookie也可以存放在http 信息头管理器中：

追迷梦境 2020-08-08

一、什么是Jmeter？Jmeter安装？Jmeter的启动？

Apache JMeter 是 Apache 组织开发的基于 Java 的压力测试工具，也可以进行接口测试。它是一个开源的，100%基于Java的应用程序，带有图形界面。它旨在分析和衡量Web应用程序和各种服务的性能和负载功能行为。Jmeter主要用于测试

登峰小蚁 2020-08-01

Jmeter压力测试工具

1）解压之后压缩包叫apache-jmeter-4.0.zip，如是src.zip后缀的都不对，打开之后会报错不可用，因为里面缺少我们下一步将要配置的环境变量.jar文件。2）对应的jdk版本不可太低，一般jmeter3.0的对应jdk1.7，jmeter

Cherishyuu 2020-07-28

Jmeter的使用

一个虚拟用户占用一个进程或线程。设置多少虚拟用户数在这里也就是设置多少个线程数。如果线程数为10，准备时长为2，那么需要2秒钟启动10个线程，也就是每秒钟启动5个线程。如果线程数为10，循环次数为100，那么每个线程发送100次请求。如果勾选了“永远”，那

84226432 2020-07-05

Jmeter中一些概念的理解——90%响应时间、事务、并发

一组数由小到大进行排列，找到他的第90%个数，那么这个数组中有90%的数将小于等于12。用在性能测试的响应时间，也就是90%请求响应时间不会超过12秒。某一次测试结果，每个sample的响应时间分别是：1、3、4、9、2、8、5、7、6、10，将其按由小到

89421478 2020-07-05

jmeter接口测试之json提取器的使用方法二

前面已经简单介绍了json提取器的使用方法。以前的案例是通过cookies中填写需要获取的值的参数化，今天简单介绍一下body data中填写需要获取值的参数化。这里再提一下，就是可以使用我上篇随笔中的Debug sampler，检查我们提取的结果值是否正

HappinessCat 2020-07-05

mac jmeter 界面乱码

jmeter 默认安装乱码，网上百度一堆都没有解决，结果把外观改为“Metal"，正常了，奇葩了

xinjing0 2020-07-04

Jmeter(十三) - 从入门到精通 - JMeter定时器 - 上篇（详解教程）

　　用户实际操作时，并非是连续点击，而是存在很多停顿的情况，例如：用户需要时间阅读文字内容、填表、或者查找正确的链接等。为了模拟用户实际情况，在性能测试中我们需要考虑思考时间。若不认真考虑思考时间很可能会导致测试结果的失真。例如，估计的可支撑用户数偏小。我

TesterJingel 2020-06-28

jmeter在non-GUI模式下用法

jmeter命令行下，也可以实时查看压测结果，只需要修改配置文件bin目录下jmeter.properties。# Summariser - Generate Summary Results - configuration . # Define the f

singebogo 2020-06-27

jmeter压力测试

服务器名称或IP：xxx. 4、文件编码：UTF-8. 3、消息体数据：

84226432 2020-06-26

Jmeter界面结构解析

Number of Threads:用户并发数。

新路 2020-06-26

jmeter删除历史打开的脚本记录

用jmeter的人都知道，我们每次打开脚本，jmeter都会记住，下次我们就可以快速打开这个脚本了，那么这些脚本是保存在哪里的？如果我们想清楚又该怎么操作，今天黑夜小怪带着大家一起来玩一玩，演示的jmeter版本是3.0版本。到此我们的小尝试就完成了，大家

TesterJingel 2020-06-26

Jmeter系列（34）- 详解 Counter 计数器

如果你想从头学习Jmeter，可以看看这个系列的文章哦。计数器使用 long 来存储值，因此取值范围是 -2 ^ 63 到 2 ^ 63-1. 可以在线程组任意地方添加计数器。最大值，包含此值。每次线程组迭代时计数器将重置为初始值。此时计数器是对所有线程共

Seleton 2020-06-26

Jmeter系列（33）- 跨平台运行 Jmeter，CSV 文件路径如何设置？

通常，我们编写、调试脚本都是在 Window 机器上，而真正性能测试时，脚本几乎都在 Linux 下运行。这里就有个问题：Window 下写的文件路径到了 Linux 下是不正确的，导致无法正常读取 CSV 文件。用来获取 Jmeter 的属性，那我们怎么

xinjing0 2020-06-25

jmeter工具中的用英文切换

#Preferred GUI language. Comment out to use the JVM default locale‘s language.

Cherishyuu 2020-06-25

Jmeter系列（32）- 详解 CSV 数据文件设置

如果你想从头学习Jmeter，可以看看这个系列的文章哦。了解一哈什么是 CSV 文件。为了实现简单的数据存储，是一个纯文本的文件。最通用的一种文件格式，它可以非常容易地被导入各种PC表格及数据库中。CSV 文件可以用记事本、excel打开；用记事本打开的话

新路 2020-06-25

daosecurity

W3CSchool教程: HTML 教程; CSS 教程; Bootstrap 教程; Javascript 教程; jQuery 教程

后端教程: C 教程; Java 教程; PHP 教程; Python 教程; Go 教程

移动开发: Android 教程; Swift 教程; Kotlin 教程; jQuery Mobile 教程; ionic 教程

关于我们: 新闻动态; 联系方式; 招聘英才; 安科实验室; 帮助与反馈

安科网(Ancii)，中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号京公网安备11010802014868号