常见web漏洞修复方法

最新推荐文章于 2023-11-04 10:26:22 发布
最新推荐文章于 2023-11-04 10:26:22 发布
阅读量893 收藏 2
点赞数 1
分类专栏: 安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Big_Cow99/article/details/125317146
版权

方法如下:

  漏洞修复。(输入过滤,输出转义)

  1、在连接数据库时,在接收参数后进行转义,$id = mysql_real_escape_string($id);
  

  2、在网页源码中在接收参数后可用htmlspecialchars(变量名);转义特别的字符为HTML实体。(xss)
  

  3、$result =mysqi_query($sql);不打印错误描述,即使存在注入,也不好判断。$sql为查询语句
  

  4、if(is_numeric($id)){}else{} 判断提交的是否是数字
  

  5、使用unset($_session[‘token’]);,销毁变量,刷新session会话,防暴力破解。
  

  6、使用过滤(黑名单):str_replace(“%”,””,$_POST[‘username’]); 替换’ “ = 等特殊符号。
    

  7、正则表达式:var xss=str.replace(/\=/g,’’); 使用=+等特殊字符,前要用转义符号\,g代表字符串中全部替换。
  

  8、If Stristr(“hello word”,”WORD”); 在前一个字符串中查找后面的字符串,不区分大小写,stristr 中的i,去掉就区分大小写。
  例:if(strist($_GET[‘message’]),’http’)==false{}else{}
  

  9、文件上传:

    a、限制上传文件大小、格式、后缀名等。
    b、对上传文件不返回路径,并且有规则的重命名。
    c、对上传文件所在目录进行权限限制(禁止执行)。
  

  10、修复xxe
    删除语句中LIBXML_NOENT 意为关闭外部实体解析
    例:$data = @simplexml_load_string($xml,'SimpleXMLElement',LIBXML_NOENT); 有红函数里面改。

  以上修复是基于网页源代码修复,如有不当之处请多多指教!!!

  本人在网络、运维、网页渗透、linux、windows软硬件,均有建树,后期会不断和大家分享学习资料、选择方向和方法技巧,并且也会在不断地学习中,将积累的经验分享出来,敬请期待!!!!  

99奋斗的蜗牛
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
sql注入 js脚本注入 html入侵(自己收集的一些解决方案)欢迎指正
alleged的博客
01-12 1万+
sql注入 js脚本注入 html入侵sql注入简介通俗的讲,SQL注入就是恶意黑客或者竞争对手利用现有的B/S或者C/S架构的系统,将恶意的SQL语句通过表单等传递给后台SQL数据库引擎执行。比如,一个黑客可以利用网站的漏洞,使用SQL注入的方式取得一个公司网站后台的所有数据。试想一下,如果开发人员不对用户传递过来的输入进行过滤处理,那么遇到恶意用户的时候,并且系统被发现有漏洞的时候,后果将是令人
Web应用常见漏洞修复方案
12-01
1.SQL注入攻击 2. 跨站脚本攻击 3. 跨站请求伪造
Web开发常见的几个漏洞解决方法
03-03
平时工作,多数是开发Web项目,由于一般是开发内部使用的业务系统,所以对于安全性一般不是看的很重,基本上由于是内网系统,一般也很少会受到攻击,但有时候一些系统平台,需要外网也要使用,这种情况下,各方面的安全性就要求比较高了,所以往往会交付给一些专门做安全测试的第三方机构进行测试,然后根据反馈的漏洞进行修复,如果你平常对于一些安全漏洞不够了解,那么反馈的结果往往是很残酷的,迫使你必须在很多细节上进行修复完善。本文主要根据本人项目的一些第三方安全测试结果,以及本人针对这些漏洞问题的修复方案,介绍在这方面的一些经验,希望对大家有帮助。基本上,参加的安全测试(渗透测试)的网站,可能或多或少存在下面几个
常见web安全漏洞修复方案(全面)
热门推荐
Websec
03-04 1万+
第一章 SQL注入漏洞 第一节 漏洞介绍 概述:SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从 数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作 (如关闭数据库管理系统)、恢 复存在于数据库文件系统中的指定文件内容,在某些情况下能对操作系统发布命令。SQL注入攻击是一种注入攻击。 它将SQL命令注入到数据层输...
web常见漏洞修复方法
CoffeeAndIce的博客
07-02 9420
内容锚点一、cookie问题1、httpOnly2、Cookies with missing, inconsistent or contradictory properties二、 Clickjacking 问题三、TLS/SSL LOGJAM attack四、HSTS问题 一、cookie问题 1、httpOnly Java 解决方案 let JSESSIONID = document.cookie.match("JSESSIONID"); if(JSESSIONID){ console.log(J
Web漏洞的原理以及修复总结(一)
weixin_53872203的博客
04-04 356
本文章仅供学习分享使用,不做任何的违法行为!!! 一.漏洞原理: sql注入漏洞:我在页面表单提交的数据传到后端做处理时,没有做严格的判断,像一些特殊的字符#,’, “,)他没有做严格的过滤,传输到后端时将数据拼接到sql语句中执行,因此,我可以构造一些特殊的语句像查询数据库的版本讯息,数据库名表名等,去挖掘数据库的敏感信息。 文件上传漏洞:我在开发网站的时候,没有考虑到安全的一个问题,比如说没有考虑上传文件的格式的后缀合法性,这时候攻击者可以上传一个恶意的脚本文件到服务器上,这个恶意脚本文件可以是.
常见Web漏洞修复建议手册
Websec
11-24 2895
漏洞类型 修复建议 明文传输 1、需要对密码字段进行md5+salt(aes/rsa等不可逆算法)加密 用户名枚举 1、建议对接口登录页面的判断回显信息修改为一致:用户名或密码错误(模糊提示)。 用户名暴力破解 1、账户锁定 账户锁定是很有效的方法,因为暴力破解程序在5-6次的探测中猜出密码的可能性很小。但是同时也拒绝了正常用户的使用。如果攻击者的探测是建立在用户名探测成功之后的行为,那么会造成严重的拒绝服务攻击。对于对大量用户名只用一个密码的探测攻击账户锁定无效。
Web 常见漏洞描述与修复方案
最新发布
liuhyusb的博客
11-04 60
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…(6)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。
web漏洞合集描述和修复建议.xlsx
03-02
企业对产品进行渗透测试时书面报告中的web漏洞描述,包含漏洞分类、漏洞名称、危险等级、漏洞描述、修复建议。
javaWeb安全验证漏洞修复总结
08-26
目前很多业务都依赖于互联网,例如说网上银行、网络购物、网游等,很多恶意...同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。
常见web开发安全漏洞修复方案
小刘的博客
02-02 3004
1.不充分账户封锁 (一) 安全问题描述 发送了两次合法的登录尝试,并且在其间发送了几次错误的登录尝试。最后一个响应与第一个响应相同。这表明存在未充分实施帐户封锁的情况,从而使登录页面可能受到蛮力攻击 解决方案 效果,当用户登录错误3次,则提醒30分钟后才可再次登录 if(!checkLock(session, username)) { Syst...
xxe漏洞利用
qq_50673174的博客
05-30 1479
XXE(XML External Entity)是指xml外部实体攻击漏洞。XML外部实体攻击是针对解析XML输入的应用程序的一种攻击。当包含对外部实体的引用的XML输入被弱配置XML解析器处理时,就会发生这种攻击。这种攻击通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口、攻击内网网站等危害。
常见web安全漏洞修复建议
qq_27990381的博客
07-08 5858
WEB漏洞 高危漏洞 SQL Injection(SQL注入攻击) 漏洞描述 通过把SQL命令插入到Web表单递交或输入域名、页面请求的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令。 示例: 以输入用户名、密码进行登录校验为例,当程序中存在SQL拼接时,可能发生的SQL注入攻击 代码中使用拼接SQL,验证用户是否存在 JdbcConnection conn = new JdbcConnection(); // 拼接SQL,引起 SQL 注入 String sql = "select * fr
web漏洞利用与修复(bp、暴力破解、sql)
王陈锋的博客
11-18 819
了解常见web漏洞,掌握常见Web漏洞攻防手段,了解Web漏洞修复工具软件:kail、dvwa、burpsuite。
Bugku CTF-web11 网站被黑了
weixin_44023403的博客
04-24 409
Bugku CTF-web11 网站被黑了解题 解题 用御剑扫一下网站后台敏感目录,直接输入网站,点击开始扫描; 当打开http://XXXX.XX/shell.php,发现是后台网址; 再用burpsuite暴破webshell密码,先输入任意代码抓包,之后发送intruder进行暴破; 设置变量; 导入字典; 开始暴破; 这就体现到平时积累常用字典的重要性,字典用的准,很快就会发现hack的返回的length值和其它的不一样,密码就拿到了。 输入密码hack,flag值就展示出来了。
CTF实战实践
weixin_46660023的博客
12-05 5061
文章目录前言一、什么是CTF1. CTF竞赛模式2. CTF各大题型简介二、CTF实战1.nmap扫描2. whatweb探测3. Dirb爆破4. wireshark分析5. 利用漏洞提权6. SSH登录服务器总结 前言 今天做了一个CTF的实践,对目标靶机进行了渗透,以此了解CTF的实战过程。 一、什么是CTF         首先先来介绍一下CTF。         CTF(Capt.
Web攻防作业 | 越权访问漏洞全解析
Ms08067安全实验室
11-24 1481
文章来源 | MS08067Web高级攻防第3期作业本文作者:xiaobai05050505越权访问漏洞一、越权漏洞概述1、概述通常情况下,一个 Web 程序功能流程是登录 - 提交请求 - 验证权限 - 数据库查询 - 返回结果。在验证权限阶段逻辑不够缜密,便会导致越权。(常见的程序都会认为通过登录后即可验证用户的身份,从而不会做下一步验证,最后导致越权。)2、分类①、未授权访问:没有某个功能...
webmin漏洞复现集合
qq_69775412的博客
10-08 1694
webmin漏洞复现集合
WebSphere漏洞总结复现
1ance's blog
11-14 8755
写在前面:本文为漏洞复现系列WebSphere篇,复现的漏洞已vulhub中存在的环境为主。 欢迎大家点赞收藏,点点关注更好了hhhhhh 文章目录简介WebSphere反序列化(CVE-2015-7450)漏洞原理影响范围漏洞复现修复建议弱口令 && 后台Getshell漏洞原理影响范围漏洞复现修复建议CVE-2020-4450总结 简介 WebSphere® Application Server 加速交付新应用程序和服务,它可以通过快速交付创新的应用程序来帮助企业提供丰富的用户体验从基
web常见漏洞、检测方法
08-23
web常见漏洞包括: 1. XSS(跨站脚本):攻击者通过注入恶意脚本代码来攻击用户浏览器,获取用户的敏感信息。 2. SQL注入:攻击者通过向Web应用程序的数据库查询中插入恶意的SQL代码来获取数据库的敏感信息。 3. CSRF(跨站请求伪造):攻击者利用用户在已认证的Web应用程序上执行未经授权的操作。 4. 文件包含:攻击者通过向Web应用程序的文件包含功能中插入恶意代码来执行任意命令。 5. 逻辑漏洞:通过操纵应用程序的逻辑流程来执行未经授权的操作。 针对这些常见漏洞,可以使用以下方法进行检测: 1. 漏洞扫描器:使用专门的扫描工具,对Web应用程序进行全面扫描,检测漏洞并给出相应的建议。 2. 安全审计:通过对应用程序代码和配置进行详细审查,识别潜在的漏洞点。 3. 条件测试:通过构造特殊的输入,观察应用程序的响应并判断是否存在漏洞。如在输入框中输入特殊字符,检测是否能成功执行恶意脚本。 4. 渗透测试:通过模拟攻击者实际进行渗透测试,评估应用程序的安全性,并发现漏洞。 在检测到漏洞后,需要及时采取相应的修复措施,如修复代码中的漏洞点、更新框架和组件、严格控制访问权限等,确保Web应用程序的安全性。此外,也需要定期进行漏洞检测和修复,以应对日益变化的网络安全威胁。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

99奋斗的蜗牛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值