Web开发过程常见漏洞及解决方法

最新推荐文章于 2023-10-20 17:38:09 发布
最新推荐文章于 2023-10-20 17:38:09 发布
阅读量621 收藏 2
点赞数
分类专栏: Java 文章标签: web漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Loiterer_Y/article/details/101012037
版权

1、xml配置文件泄漏问题
问题描述: 可访问localhost:8080/web-inf/web.xml获取xml配置信息
问题所在: 应用中客户端可访问的目录下存在敏感配置文件,攻击者可以直接访问到这些配置文件,获取配置文件中的敏感信息。
解决方法: 禁止服务器访问/web-inf/路径
操作步骤:

nginx配置文件中nginx.conf添加
location ~ ^/(WEB-INF|META-INF)/* {
           deny all;
}
具体配置如下:

#user  nobody;
worker_processes  1;

error_log  logs/error.log;
#error_log  logs/error.log  notice;
#error_log  logs/error.log  info;

#pid        logs/nginx.pid;


events {
    worker_connections  1024;
}


http {
    include       mime.types;
    default_type  application/octet-stream;

    log_format  main  '$remote_addr - $remote_user [$time_local] "$request" '
                      '$status $body_bytes_sent "$http_referer" '
                      '"$http_user_agent" "$http_x_forwarded_for"';

    access_log  logs/access.log  main;

    sendfile        on;
    #tcp_nopush     on;

    #keepalive_timeout  0;
    keepalive_timeout  65;

    #gzip  on;
    client_max_body_size 800m;

    upstream backend{
       _BALANCE_
       #_BACKEND_;
       check interval=3000 rise=2 fall=5 timeout=1000 type=http;
    }

    server {
        listen       _PORT_;
        server_name  localhost;

        #charset koi8-r;

        access_log  logs/host.access.log  main;

        location /nginx_status {
            check_status;
        }

        location ~ ^/(WEB-INF|META-INF)/* {
           deny all;
        }

        location / {
            root   _FRONTEND_;
            index  index.html index.htm;
        }       

        location /# {
          proxy_pass  http://backend;
        }
    }
}

2、允许TRACE方法
问题描述: 可通过trace方式请求localhost:8080/dist
问题所在: 可以通过TRACE Method返回的信息了解到网站前端的一些信息,如缓存服务器
解决方法: 服务器配置禁止使用trace方法
操作步骤: apache配置文件中httpd.conf添加TraceEnable off
3、目录浏览漏洞
问题描述: 可通过get方式请求localhost:8080
问题所在: 服务器开启了目录浏览功能,攻击者可以通过浏览Web应用的目录获取应用的目录结构,搜寻应用中暴露的敏感文件
解决方法: 关闭Web服务器的目录浏览功能
操作步骤: apache配置文件中httpd.conf将Options Indexes FollowSymLinks改为Options FollowSymLinks

不会画画的画师
关注
专栏目录
【文件包含漏洞-01】文件包含漏洞成因与其包含语句及其相关配置
cc
02-21 3053
tips:当服务器开启allow_url_include选项时,就可以通过php的某些特性函数[include(),require(),include_once(),require_once()]利用url去动态包含文件,此时如果没有对文件来源进行严格审查,就会导致任意文件读取或者任意命令执行。,页面显示如下,可以看到在require语句界面,第一条require语句成功执行,但是第二条语句执行出错,显示警告,也出现报错致命错误,程序终止,导致后续 脚本无法执行!,网页显示如下,可以看到语句被成功执行!
web开发常见的安全漏洞及避免方法
weixin_30340819的博客
01-08 390
1、安全攻击 1、SQL、HTML、JS、OS命令注入 2、XSS跨站脚本攻击,利用站内信任的用户,在web页面插入恶意script代码 3、CSRF跨站请求伪造,通过伪装来自信任用户的请求来利用受信任的网站。 4、目录遍历漏洞 5、参数篡改 6、会话劫持 2、防止攻击的措施总结 1) 对用户输入的数据进行全面安全检查或过滤,尤其注意...
一些开发漏洞
u012712517的专栏
11-03 578
Sun微系统公司在一份安全公告中表示,在其Java软件的组件中存在一个安全漏洞,可 能会使一些运行Java软件的服务器容易遭到黑客的攻击。这份安全公告已经被张贴在Bu gtraq安全列表上。 据Sun公司称,这个安全漏洞可以影响面向Linux、Windows和Solaris操作系统的1. 1和1.2版Java运行环境。不过,这个安全漏洞不会影响微软的IE浏览器和网景的Naviga tor
安全开发之-漏洞详细分类
cnbird's blog
10-09 820
1. CWE http://cwe.mitre.org/data/slices/2000.html   2. owasp asdr   3. capec http://capec.mitre.org/data/slices/2000.html
防范开发漏洞相关手段
chen__an的博客
06-28 269
防范密码找回漏洞的相关手段 在密码找回功能设计时对用户凭证的验证次数和频率进行限制,防止攻击者对用户凭证的暴力枚举攻击; 对密码找回的各个环节进行梳理,记录分析所有交互数据,避免密码找回凭证等敏感信息直接返回客户端; 对服务端密码重置Token的生成算法进行审计,避免使用容易被攻击者破解的简单算法; 密码重置凭证应与账户严格绑定,并设置有效时间,避免攻击者通过修改账户ID的方式重置他人密码...
WEB开发常见安全漏洞分析与预防策略.rtf
12-23
WEB开发常见安全漏洞分析与预防策略
web开发常见安全漏洞解决办法
08-15
SQL注入漏洞 跨站脚本攻击漏洞 IIS短文件/文件夹漏洞 系统敏感信息泄露
web开发常见漏洞解决方案
04-11
web开发常见漏洞解决方案
PHP配置文件经典漏洞
weixin_30352645的博客
03-23 200
phithon师父在小蜜圈里放了一个经典的配置文件写入问题漏洞. <?phpif(!isset($_GET['option'])) die();$str = addslashes($_GET['option']);$file = file_get_contents('./config.php');$file = preg_replace('|\$option=\'.*\';|', "...
写配置漏洞与几种变形学习
whojoe的博客
05-14 390
写配置漏洞与几种变形学习前言0×01 基础版0×02 单行模式:0×03 基础版非贪婪模式0×04 单行非贪婪模式0×05 define基础版0×06 define单行版0×07 define基础版非贪婪模式0×08 define单行非贪婪模式参考文章 前言 前段时间在代码审计时候发现了一些写配置的漏洞,今天正好看到了这个文章,做一下学习 0×01 基础版 特点:正则贪婪模式、无s单行模式: option.php以下无特殊说明,都以此文件为配置文件 <?php $API1 = '12123'; $AP
springboot中关于密码明文存储于配置文件的漏洞整改方式
跟着飞哥学编程(全栈联盟)
03-16 1628
在代码安全审计中发现,系统存在密码明文存储于配置文件中的情况,这样的高危风险如何解决呢?
经典写配置漏洞与几种变形
火柴人的博客
03-15 234
0x00利用点 preg_replace在替换的时候会吃掉转义符 0x01 基础版 特点:正则贪婪模式、无s单行模式: <?php $api = addslashes($_GET['api']); $file = file_get_contents('./option.php'); $file = preg_replace("/\\\$API = '.*';/", "\$API = '{$a...
WEB-INF/web.xml泄露
m0_60715541的博客
11-05 1561
今天谈谈WEB-INF/web.xml泄露
常见Web源码泄漏漏洞及其利用
热门推荐
02-28 2万+
Web源码泄露漏洞:git源码泄露svn源码泄露hg源码泄漏网站备份压缩文件WEB-INF/web.xml泄露DS_Store 文件泄露SWP 文件泄露CVS泄露Bzr泄露GitHu...
Nginx location 语法匹配详解,渗透漏洞WEB-INF文件泄露修复
u014644574的博客
12-14 1024
1、语法规则,类似switch case location [=|~|~*|^~|!~|!~*] /uri/ { … } 模式 含义 location = /uri = 表示精确匹配 location ^~ /uri ^ 进行前缀匹配,~ 表示区分大小写 location ~ pattern ~ 区分大小写的匹配 location
漏洞挖掘】——62、WEB-INF/web.xml 泄露
最新发布
Fly_鹏程万里
10-20 1833
WEB-INF/web.xml信息泄露是一种常见的安全问题,通常发生在Web应用程序未被正确配置或管理的情况下,攻击者可以通过暴力破解或者其他手段访问WEB-INF目录下的web.xml文件从而获得Web应用程序的配置信息,例如:安全配置、数据库连接信息、API密钥等。
Nginx配置的最佳实践
qq_38512527的博客
09-12 376
Demo upstream web_pro_testin { server 10.42.46.70:6003 max_fails=3 fail_timeout=20s; ip_hash; } server { listen 80; server_name web.pro.testin.cn; location / { proxy_pass http://web_pro_testin; proxy_redirect off; proxy_set_header Host $host; proxy_set_hea
WEB中的敏感文件泄漏
weixin_34167043的博客
09-23 1172
文件泄露, 根据泄漏的信息敏感程度, 在WEB漏洞中可以算是中危甚至高危的漏洞, 本篇文章就来 介绍下一些常见的泄漏, 主要分为由版本管理软件导致的泄露, 文件包含导致的泄露和配置错误导致的泄露. 版本管理软件造成的泄露 git git可以说是当今最受欢迎的版本控制/版本管理软件了, 很多基于git的云端托管仓库都提供了 免费的托管服务, 甚至有不少还支持免费私有仓库, 如bitbucket和国内...
提升Web开发安全:常见漏洞修复策略与测试步骤
本文将着重讨论Web开发常见的几个漏洞及其解决方法,这些漏洞包括SQL注入漏洞、跨站脚本攻击(XSS)、登录后台管理页面、IIS短文件/文件夹漏洞以及系统敏感信息泄露等。面对这些问题,开发者应具备足够的安全意识...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值