常见web漏洞修复方法

最新推荐文章于 2024-01-03 14:34:33 发布
最新推荐文章于 2024-01-03 14:34:33 发布
阅读量980 收藏 3
点赞数 2
分类专栏: 安全 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Big_Cow99/article/details/125317146
版权

方法如下:

  漏洞修复。(输入过滤,输出转义)

  1、在连接数据库时,在接收参数后进行转义,$id = mysql_real_escape_string($id);
  

  2、在网页源码中在接收参数后可用htmlspecialchars(变量名);转义特别的字符为HTML实体。(xss)
  

  3、$result =mysqi_query($sql);不打印错误描述,即使存在注入,也不好判断。$sql为查询语句
  

  4、if(is_numeric($id)){}else{} 判断提交的是否是数字
  

  5、使用unset($_session[‘token’]);,销毁变量,刷新session会话,防暴力破解。
  

  6、使用过滤(黑名单):str_replace(“%”,””,$_POST[‘username’]); 替换’ “ = 等特殊符号。
    

  7、正则表达式:var xss=str.replace(/\=/g,’’); 使用=+等特殊字符,前要用转义符号\,g代表字符串中全部替换。
  

  8、If Stristr(“hello word”,”WORD”); 在前一个字符串中查找后面的字符串,不区分大小写,stristr 中的i,去掉就区分大小写。
  例:if(strist($_GET[‘message’]),’http’)==false{}else{}
  

  9、文件上传:

    a、限制上传文件大小、格式、后缀名等。
    b、对上传文件不返回路径,并且有规则的重命名。
    c、对上传文件所在目录进行权限限制(禁止执行)。
  

  10、修复xxe
    删除语句中LIBXML_NOENT 意为关闭外部实体解析
    例:$data = @simplexml_load_string($xml,'SimpleXMLElement',LIBXML_NOENT); 有红函数里面改。

  以上修复是基于网页源代码修复,如有不当之处请多多指教!!!

  本人在网络、运维、网页渗透、linux、windows软硬件,均有建树,后期会不断和大家分享学习资料、选择方向和方法技巧,并且也会在不断地学习中,将积累的经验分享出来,敬请期待!!!!  

99奋斗的蜗牛
关注
专栏目录
web项目:漏洞修复(1)
nxllong的博客
09-30 492
1.  启用了不安全的 HTTP 方法 任务: 禁用 WebDAV,或者禁止不需要的 HTTP 方法。   解决方案: 如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序呢? 解决方法 第一步:修改应用程序的web.xml文件的协议        xmlns:xsi="http://www.w3.org/2001/XMLSchema-
Web中间件常见漏洞总结.pdf
06-14
中间件的安全问题常常成为黑客攻击的目标,因此深入理解和掌握Web中间件常见漏洞的知识对于网络安全防护至关重要。下面,我们将围绕文档提及的IIS中间件,总结其常见漏洞类型及修复建议。 1. IIS解析漏洞 IIS解析...
web漏洞合集描述和修复建议.xlsx
03-02
企业对产品进行渗透测试时书面报告中的web漏洞描述,包含漏洞分类、漏洞名称、危险等级、漏洞描述、修复建议。
常见web安全漏洞修复方案(全面)
热门推荐
Websec
03-04 1万+
第一章 SQL注入漏洞 第一节 漏洞介绍 概述:SQL注入攻击包括通过输入数据从客户端插入或“注入”SQL查询到应用程序。一个成功的SQL注入攻击可以从 数据库中获取敏感数据、修改数据库数据(插入/更新/删除)、执行数据库管理操作 (如关闭数据库管理系统)、恢 复存在于数据库文件系统中的指定文件内容,在某些情况下能对操作系统发布命令。SQL注入攻击是一种注入攻击。 它将SQL命令注入到数据层输...
web常见漏洞修复方法
CoffeeAndIce的博客
07-02 1万+
内容锚点一、cookie问题1、httpOnly2、Cookies with missing, inconsistent or contradictory properties二、 Clickjacking 问题三、TLS/SSL LOGJAM attack四、HSTS问题 一、cookie问题 1、httpOnly Java 解决方案 let JSESSIONID = document.cookie.match("JSESSIONID"); if(JSESSIONID){ console.log(J
Web系统常见漏洞修复
Desiy的博客
09-12 1662
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。正好我所在企业中的交付团队遇到了这种情况,我将最后我们团队针对一些漏洞修复代码分享出来供大家参考,方便未来自己修复同样的漏洞,当然漏洞的种类不是很全,我会在以后遇到其他类型时及时更新。
Web应用常见漏洞修复方案
12-01
Web 应用常见漏洞修复方案 在 Web 应用程序中,安全漏洞是非常普遍的存在,而 SQL 注入攻击、跨站脚本攻击和跨站请求伪造是最常见的三种漏洞,本篇文章将详细介绍这三种漏洞的成因、危害和防护措施。 一、SQL 注入...
Python常见安全漏洞修复方法.zip
10-16
本资料"Python常见安全漏洞修复方法.zip"包含了关于Python安全的重要信息,主要文件是"Python常见安全漏洞修复方法.pdf",以下将对其中可能涵盖的关键知识点进行详细阐述。 1. 输入验证不足:Python应用程序...
验证码的三个常见漏洞修复方法
09-03
本文将深入探讨验证码的三个常见漏洞,并提供相应的修复策略。 首先,我们来看第一个漏洞:将验证码存储在Cookie中。通常情况下,验证码会被存储在服务器端的Session中,以便在用户提交验证时与客户端输入的值进行...
javaWeb安全验证漏洞修复总结
08-26
目前很多业务都依赖于互联网,例如说网上银行、网络购物、网游等,很多恶意攻击者出于不良的目的对Web 服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样,Web业务平台最容易遭受攻击。同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。
Web常见漏洞描述及修复建议
最新发布
Galaxy_0的博客
01-03 1798
Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。(1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。
常见Web漏洞修复建议手册
Websec
11-24 3129
漏洞类型 修复建议 明文传输 1、需要对密码字段进行md5+salt(aes/rsa等不可逆算法)加密 用户名枚举 1、建议对接口登录页面的判断回显信息修改为一致:用户名或密码错误(模糊提示)。 用户名暴力破解 1、账户锁定 账户锁定是很有效的方法,因为暴力破解程序在5-6次的探测中猜出密码的可能性很小。但是同时也拒绝了正常用户的使用。如果攻击者的探测是建立在用户名探测成功之后的行为,那么会造成严重的拒绝服务攻击。对于对大量用户名只用一个密码的探测攻击账户锁定无效。
Web漏洞的原理以及修复总结(一)
weixin_53872203的博客
04-04 456
本文章仅供学习分享使用,不做任何的违法行为!!! 一.漏洞原理: sql注入漏洞:我在页面表单提交的数据传到后端做处理时,没有做严格的判断,像一些特殊的字符#,’, “,)他没有做严格的过滤,传输到后端时将数据拼接到sql语句中执行,因此,我可以构造一些特殊的语句像查询数据库的版本讯息,数据库名表名等,去挖掘数据库的敏感信息。 文件上传漏洞:我在开发网站的时候,没有考虑到安全的一个问题,比如说没有考虑上传文件的格式的后缀合法性,这时候攻击者可以上传一个恶意的脚本文件到服务器上,这个恶意脚本文件可以是.
Web 常见漏洞描述与修复方案
liuhyusb的博客
11-04 117
网络安全行业产业以来,随即新增加了几十个网络安全行业岗位︰网络安全专家、网络安全分析师、安全咨询师、网络安全工程师、安全架构师、安全运维工程师、渗透工程师、信息安全管理员、数据安全工程师、网络安全运营工程师、网络安全应急响应工程师、数据鉴定师、网络安全产品经理、网络安全服务工程师、网络安全培训师、网络安全审计员、威胁情报分析工程师、灾难恢复专业人员、实战攻防专业人员…(6)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。
跨站脚本攻击漏洞怎么修复_CTF自学笔记(三)跨站脚本攻击[三]
weixin_39874269的博客
12-12 420
点击上方蓝字关注!注:本篇文章为个人学习笔记仅供学习交流。NO.32020.8.9星期日XSS漏洞危害与利用技巧在浏览器中XSS漏洞所能做的事情通过XSS漏洞都可以完成。XSS漏洞可实现的功能包括但不限于:窃取用户cookie信息,伪造用户身份;与浏览器DOM对象进行交互,执行受害者所有可以执行的操作;获取网页源码;发起HTTP请求;使用HTML5 Geolocation API获取地...
XXE外部实体注入漏洞之——CTF考题补充与——及XXE漏洞修复
温柔小薛的博客
04-12 1128
CTF考题 测试及漏洞修复 扩展考题 jarvisoj 上的一道题目 API 调用 这道题的题目说明是 请设法获得目标机器/home/ctf/flag.txt 中的 flag 值。 进入题目 http://web.jarvisoj.com:9882/ 发现一个输入框,我们对其进行抓包 是一个 json 数据提交,修改数据发现可以被解析 这是一道 xxe 的题,怎么获取 flag?只要将 jso...
web漏洞利用与修复(bp、暴力破解、sql)
王陈锋的博客
11-18 892
了解常见web漏洞,掌握常见Web漏洞攻防手段,了解Web漏洞修复工具软件:kail、dvwa、burpsuite。
Bugku CTF-web11 网站被黑了
weixin_44023403的博客
04-24 473
Bugku CTF-web11 网站被黑了解题 解题 用御剑扫一下网站后台敏感目录,直接输入网站,点击开始扫描; 当打开http://XXXX.XX/shell.php,发现是后台网址; 再用burpsuite暴破webshell密码,先输入任意代码抓包,之后发送intruder进行暴破; 设置变量; 导入字典; 开始暴破; 这就体现到平时积累常用字典的重要性,字典用的准,很快就会发现hack的返回的length值和其它的不一样,密码就拿到了。 输入密码hack,flag值就展示出来了。
提升Web开发安全常见漏洞修复策略与测试步骤
常用的工具包括商业扫描软件(如ISS、Nessus),专门针对Web漏洞的软件(如Nikto、Webinspect),数据库扫描工具(如AppDetectiv),以及Web应用分析工具(如WebProxy、SPIKEProxy)。开发者需结合这些工具,对Web...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

99奋斗的蜗牛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值