分享一下修复项目漏洞步骤

最新推荐文章于 2024-07-04 16:04:06 发布
最新推荐文章于 2024-07-04 16:04:06 发布
阅读量3.2k 收藏 9
点赞数 1
文章标签: 安全漏洞 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/IT_master8888/article/details/113725402
版权
本文分享了修复项目安全漏洞的一系列步骤,包括Apache Shiro的反序列化漏洞、JavaScript框架库问题、HTTP拒绝服务攻击、口令猜测攻击、XSS漏洞、HTTP头缺失等问题的解决方案,旨在提高web应用的安全性。
摘要由CSDN通过智能技术生成

分享一下修复项目漏洞步骤:

1.Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞

<shiro.version>1.6.0</shiro.version>

2.检测到目标站点存在javascript框架库漏洞

jquery-3.5.1.js

 

3.检测到目标主机可能存在缓慢的HTTP拒绝服务攻击

设置Tomcat / server.xml文件    connectiontimeout 值,默认为20000ms,修改为8000ms(Tomcat 自身安全漏洞)

 

4.Apache Shiro rememberMe参数秘钥可被枚举

<shiro.version>1.6.0</shiro.version>

5.检测到目标URL存在http host头攻击漏洞

最低0.47元/天 解锁文章
IT_master21
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
Shiro的rememberMe功能
weixin_65824274的博客
07-05 1651
当登录后是可以正常访问/man的主页的,如果使用了记住我功能,会在浏览器写入cookie,关掉浏览器不需要登录即可直接访问/main.Shiro 提供了记住我(RememerMe)的功能,比如访问一些网站时,关闭了浏览器,下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。4.但是,如果我们访问电商平台时,如果要查看我的订单或进行支付时,此时还 是需要再进行身份认证的,以确保当前用户还是你。2.登录时不勾选记住我,关闭浏览器访问主页/main还会拦截到登录页;1.配置记住我功能的cookie设置;
jquery-3.5.1.min.js
04-13
jQuery最小压缩包,版本为 3.5.1,具有一定安全性,填补了一些漏洞
实现shiro-remember功能
m0_67393295的博客
04-28 372
首先说一下rememberMe是什么, 通俗的说就是 你登录百度以后,选择记住我,关闭浏览器之后打开百度,发现你还是登录状态,这样就是RememberMe 在这里,我们假设已经实现了shiro的基本登录功能。 首先是页面 userName<input type="text"id="userName" name="userName"value="<shiro:principal/>" /><br/> password:<input type="text" id="pa
”检测到目标网站存在无效链接“ 终极解决方案
最新发布
weixin_69490443的博客
07-04 505
我在开发中,收到 '**检测到目标网站存在无效链接漏洞**',虽然是低危漏洞,但是让我无比头疼,由于项目比较老, 找起来非常麻烦,有没有更方便的方式那? 最后写了个工具,分享给大家,解决方案很简单,希望能解决大家问题
jQuery3.0.0-3.5.0版本xss漏洞浅析、复现、修复
anlalu233的博客
07-22 5234
jQuery最新xss漏洞浅析、复现 2.1 环境搭建 对于此漏洞原作者搭建了在线环境,内置了三个xss poc,点击Append via .html()按钮即可触发xss 环境链接:https://vulnerabledoma.in/jquery_htmlPrefilter_xss.html 2.2 源码分析 先用第一个红框模拟个开发环境,虽然三个poc都使用了包含onerror事件的img标签,但其实它们是放在属性或style元素内部,因此会绕过HTML清理器。 审查元素发现,点击之后会多出现一个闭
漏洞复现】Apache系列(一)之Shiro漏洞复现
qq_45244158的博客
02-23 4945
Apache Shiro550反序列化(CVE-2016-4437)漏洞 Apache Shiro 认证绕过漏洞(CVE-2020-1957) 漏洞
jQuery框架漏洞全总结及开发建议
iokla
10-02 1万+
一、jQuery简介 jQuery是一个快速、简洁的JavaScript框架,是一个丰富的JavaScript代码库。jQuery设计的目的是为了写更少的代码,做更多的事情。它封装JavaScript常用的功能代码,提供一种简便的JavaScript设计模式,优化HTML文档操作、事件处理、动画设计和Ajax交互。 据一项调查报告,在对433,000个网站的分析中发现,77%的网站至少使用了一个具有已知安全漏洞的前端JavaScript库,而jQuery位列榜首,而且远远超过其他库。但事实上这些库有可用的不
常见漏洞修复方案
qq_44806973的博客
11-26 4331
在这里收集总结一下常见漏洞修复方案吧,尽可能详细
破壳漏洞修复步骤
10-10
总的来说,破壳漏洞修复涉及到对Bash解释器的源代码进行修改,限制了环境变量中的函数定义行为,防止恶意代码的执行。由于Bash在各类Linux系统和服务中的广泛应用,这个修复工作对于维护网络安全至关重要。用户应...
DVWA-安装-漏洞测试-漏洞修复指南.docx
05-17
### DVWA-安装-漏洞测试-漏洞修复指南 #### 安装与配置 根据文档描述,为了使用DVWA(Damn Vulnerable Web Application)进行漏洞测试,首先需要安装XAMPP或WampServer作为Web服务器环境。以下是安装步骤的概述: ...
openssh漏洞修复,openssh升级脚本一键升级8.9
06-23
本文将详细讲解如何使用提供的"openssh漏洞修复,openssh升级脚本一键升级8.9"方法来确保系统安全。首先,我们看到压缩包中包含以下文件: 1. `openssl-1.1.1g.tar.gz`:这是OpenSSL的源代码包,OpenSSL是一个开放...
php中sql注入漏洞示例 sql注入漏洞修复
10-26
为了修复SQL注入漏洞,开发者需要遵循以下原则和实践: 1. 使用参数化查询:对于所有数据库操作,应当使用参数化查询,而不是动态构建SQL语句。参数化查询可以有效防止SQL注入,因为它们保证了SQL代码和数据的分离。...
使用JS对form的内容验证失败后阻止提交
热门推荐
甲骨文进行曲
01-07 3万+
1.form的两个事件submit,提交表单,如果直接调用该函数,则直接提交表单onSubmit,提交按钮点击时先触发,然后触发submit事件。如果不加控制的话,默认返回true,因此表单总能提交。2. JS的校验通过在JS中用document.myform.name.value,来得到用户的每一个输入 ,进行校验,当完全通过时,返回TRUE,反之返回false。3. 页面代
信息服务上线渗透检测网络安全检查报告和解决方案3(系统漏洞扫描、相对路径覆盖RPO漏洞、nginx漏洞修复)
漏刻有时数据可视化大屏(PHP&ECHARTS智能化开源软件系统)
03-03 1055
经过对该部门应用系统漏洞扫描工作开展,发现高风险漏洞0项,中风险漏洞1项,低风险漏洞11项。业务部门对于中高风险漏洞按照专业安全测评公司建议及时修改,修改后我们及时开展二次漏洞扫描工作。确保应用系统漏洞控制在安全法规要求之内,确保信息与数据安全。@漏刻有时。
Linux系统漏洞分析和处理
小树苗
05-13 3737
web漏洞解决办法 1、检测到目标URL存在http host头攻击漏洞 Apache: 增加配置 UseCanonicalName On 2、检测到目标服务器存在应用程序错误 详细信息: 若要使他人能够从本地服务器计算机上查看此特定错误信息的详细信息,请在位于当前 Web 应用程序根目录下的“web.config”配置文件中创建一个 <customErrors> 标记。然后应将...
RPO学习
qq_36495104的博客
07-01 682
来源 https://www.freebuf.com/articles/web/166731.html http://blog.nsfocus.net/rpo-attack/ 0X1 什么是RPO RPO(Relative Path Overwrite)相对路径覆盖,是一种新型攻击技术,主要是利用浏览器的一些特性和部分服务端的配置差异导致的漏洞,通过一些技巧,我们可以通过相对路径来引入其他的资源文件,以至于达成我们想要的目的 就目前来看此攻击方法依赖于浏览器和网络服务器的反应,基于服务器的Web缓存技
jQuery-XSS漏洞(CVE-2020-11022 CVE-2020-11023)_cve-2020-11023复现
2401_85013983的博客
05-14 636
【代码】jQuery-XSS漏洞(CVE-2020-11022 CVE-2020-11023)_cve-2020-11023复现。
【web安全】Web应用隔离防护之Web弱口令爆破
HBohan的博客
10-18 3461
背景 近些年来,国内政府和企业网站被篡改的类似黑客攻击入侵事件频出,造成的社会影响及经济损失巨大,越来越多的企事业单位高度重视Web应用安全。 其中,黑客针对Web应用资产发起的弱口令攻击尤为常见。 即黑客通过已有的大量账号信息,快速批量验证能够访问目标Web资产的账号。这种攻击方式由于利用难度不大,且一旦获取到目标系统的弱口令,进入目标Web系统,可以扩大攻击者的攻击范围,被广为使用。 【学习资料】 常见的Web弱口令攻击场景 一类是为了获取目标应用的访问权限,对账号(如Admin、Root等)的密码进.
CVE-2022-22720漏洞修复步骤\
07-10
CVE-2022-22720是一个已知的漏洞,可能会影响您的系统安全。为了修复漏洞,您可以按照以下步骤进行: 1. 更新软件包:首先,确保您的系统上安装了最新版本的软件包。使用适用于您的操作系统的软件包管理工具(例如yum、apt、zypper等)进行更新。 2. 升级httpd:如果您在使用httpd服务器,请确保将其升级到最新版本。检查您的软件包管理工具以获取可用的更新版本,并执行相应的升级命令。 3. 应用补丁:检查CVE-2022-22720漏洞的相关补丁是否已经发布。如果有可用的补丁,请下载并应用到您的系统中。遵循补丁提供的说明和命令来正确应用补丁。 4. 配置安全措施:除了更新软件和应用补丁之外,您还可以采取其他安全措施来增强系统的安全性。这可能包括配置防火墙规则、使用安全策略和权限控制、定期备份数据等。 5. 监控和审计:定期监控系统和应用程序的日志,并进行安全审计。这可以帮助您及时发现任何异常活动,并采取适当的措施应对。 请注意,具体的修复步骤可能因您使用的操作系统和软件版本而有所不同。因此,在执行上述步骤之前,请确保参考适用于您的系统的官方文档和建议。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

IT_master21

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值