帆软“0day”？SpringKill:老洞

此文章由SpringKiller安全研究师傅产出，这位佬是一个能独立开发一款企业级IAST，伸手0day伸脚1day，能手搓操作系统用脚逆向的师傅，还是OWASP的代码贡献者之一。哦，差点忘了，这个师傅能书会画，上厅堂下厨房无所不能，现在是甲方大爹。呆哥建议爱学习的可以找他击剑一下。
SpringKill师傅的Github地址：https://github.com/springkill
看有个帆软0day公告：

看帆软官网：https://help.fanruan.com/finereport/doc-view-4833.html

修复方案：

1）参考 限制IP访问工程 方案一禁用老引擎接口

请注意，2024-07-22日，该方案的 url.properties 文件已更新，请重新下载文件并参考文档配置

面向本漏洞的规则是：rule3=/view/ReportServer、rule4=/view/ReportServer/

如不希望禁用远程设计和单点登录相关接口，删除相关rule即可

2）删除工程/webapps/webroot/WEB-INF/lib下sqlite-jdbc-.jar（删除sqlite-jdbc-.jar后无法使用SQLite数据连接）

请在驱动删除后重启工程以确保生效

看下SpringKill的锐评：

看到这里想起来，确实好几个月前，当时SpringKill就说还有新链可以r。

SpringKill(0day哥)后面手上channel接口还捏着两条链呢…

最后看看牛逼的SpringKill在写什么项目：