JAVA开发(web常见安全漏洞以及修复建议)

已于 2023-01-13 17:42:18 修改
阅读量2k 收藏 4
点赞数 1
分类专栏: java 文章标签: java Powered by 金山文档
于 2023-01-12 17:36:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dongjing991/article/details/128663648
版权

web安全常见漏洞

修复建议:

SQL注入规避

代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。

(1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击。

(2)对进入数据库的特殊字符(’”<>&*;等)进行转义处理,或编码转换。

(3)确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型。

(4)数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行。

(5)网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过。

(6)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。

(7)避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。

(8)过滤危险字符,例如:采用正则表达式匹配union、sleep、and、select、load_file等关键字,如果匹配到则终止运行。

XSS漏洞修复

xss漏洞本质上是一种html注入,也就是将html代码注入到网页中。那么其防御的根本就是在将用户提交的代码显示到页面上时做好一系列的过滤与转义

(1)过滤输入的数据,对例如:“ ‘ ”,“ “ ”,” < “,” > “,” on* “,script、iframe等危险字符进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP请求中的Cookie中的变量,HTTP请求头部中的变量等。

(2)不仅验证数据的类型,还要验证其格式、长度、范围和内容。

(3)不仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。

(4)对输出到页面的数据进行相应的编码转换,如HTML实体编码、JS编码等。对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行检查。

文件上传:

1、对上传文件类型进行验证,除在前端验证外在后端依然要做验证,后端可以进行扩展名检测,重命名文件,MIME类型检测以及限制上传文件的大小等限制来防御,或是将上传的文件其他文件存储服务器中。

2、严格限制和校验上传的文件,禁止上传恶意代码的文件。同时限制相关上传文件目录的执行权限,防止木马执行。

3、对上传文件格式进行严格校验,防止上传恶意脚本文件;

4、严格限制上传的文件路径。

5、文件扩展名服务端白名单校验。

6、文件内容服务端校验。

7、上传文件重命名。

  1. 隐藏上传文件路径。

目录遍历

对传入的文件名参数进行过滤,并且判断是否是允许获取的文件类型,过滤回溯符…/。

弱口令:

1、强制用户首次登录时修改默认口令,或是使用用户自定义初始密码的策略;

2、完善密码策略,信息安全最佳实践的密码策略为8位(包括)以上字符,包含数字、大小写字母、特殊字符中的至少3种。

  1. 增加人机验证机制,限制ip访问次数。

越权访问:

1、对用户访问角色的权限进行严格的检查及限制。

  1. 在一些操作时可以使用session对用户的身份进行判断和控制

使用Docker出现的安全漏洞修复

审核Docker文件和目录

在/etc/audit/audit.rules与/etc/audit/rules.d/audit.rules文件中添加以下行:

-w/var/lib/docker -k docker

-w/etc/docker -k docker

-w/usr/lib/systemd/system/docker.service -k docker

-w /usr/lib/systemd/system/docker.socket-k docker

-w/usr/bin/docker-containerd -k docker

-w/usr/bin/docker-runc -k docker

然后,重新启动audit程序:

service auditd restart

限制容器之间的网络流量

在/usr/lib/systemd/system/docker.service文件中的`ExecStart`参数添加 `--icc=false`选项,然后重启docker服务:

systemctldaemon-reload

systemctlrestart docker

为Docker启用内容信任

要在bash shell中启用内容信任,请输入以下命令:`exportDOCKER_CONTENT_TRUST=1`

或者,在您的配置文件中设置此环境变量,以便在每次登录时启用内容信任。

内容信任目前仅适用于公共Docker Hub的用户。 当前不适用于Docker Trusted Registry或私有注册表。

限制容器的内存使用量

仅使用所需的内存来运行容器。始终使用'--memory'参数运行容器。 您应该按以下方式启动容器:

docker run--interactive --tty --memory 256m <Container Image Name or ID>

奋力向前123
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
java木马_Java校验上传图片文件是否含有木马的两种方式
weixin_42561143的博客
02-20 4023
这两天开发一个app遇到了上传文件的安全问题,在这里记录下来,弥补自己只有鱼的记忆的缺陷,也希望有人能够提供更好的思路去解决文件上传的安全问题.下面这个类是文件上传的公共方法,ToolUtils判断的是文件的类型(jpg/png等),这样的做法根本不能避免上传的文件不是木马.下面引入两种方式,调用时候只需要引用一种即可.private String executeUpload(String upl...
Java代码漏洞检测-常见漏洞修复建议
晨港飞燕的专栏
11-19 6146
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
修复路径穿越、任意文件写入漏洞
InterestAndFun的博客
02-23 7145
前段时间随手写的一个文件上传服务,在公司的渗透测试下漏洞百出,其中少不了路径穿越和任意文件写入漏洞。其实这两个漏洞修复并不复杂,只要对入参进行两个条件的校验就可以了。
一文详解逻辑越权漏洞
最新发布
2401_84466229的博客
05-24 623
Autorize是一个帮助渗透测试人员检测授权漏洞的扩展,这是Web应用程序渗透测试中比较耗时的任务之一。只需要将低权限账户的cookie值交个插件,然后用高权限的账号登录网站即可,该插件会自动重复每一个请求与低权限用户的会话并对其进行检测。在结果中看颜色,红色代表存在越权、黄色代表不确定、绿色代表没问题。在左边一列中红色列代表存在越权的可能,右边一列中红色列代表存在未授权访问的可能。
文件上传漏洞:getshell的最好方式,我们如何防御?
李熠专用博客_白帽子一枚,人称低危终结者
09-09 2962
我相信,你在开发Web应用时,后端一定会提供文件的上传功能,比如前端页面肯定有图片的展示,后端必定会提供图片的上传入口。但是,你在做文件上传功能时,是否考虑过它的安全性问题呢? 请看下面的代码: @PostMapping("upload") public String upload(@RequestParam("file")MultipartFile file,HttpServletRequest request)throws Exception{ String filename = fil.
文件上传漏洞
Enya1122的博客
02-04 1016
文件上传漏洞基础知识
javaWeb安全验证漏洞修复总结.doc
11-29
Java Web 安全验证漏洞修复总结是指在 Java Web 开发常见安全漏洞修复和防范方法。本文将详细介绍 Java Web 安全验证漏洞的类型、成因、风险和解决方案。 SQL 注入和盲注 SQL 注入和盲注是 Java Web 开发中...
Java Web反序列化网络安全漏洞分析.pdf
03-31
- 更新组件:定期更新依赖库,修复已知的安全漏洞。 - 审计代码:进行代码审查,识别潜在的反序列化风险点。 6. **实例分析** 以Apache Commons Collections为例,该库中的`InvokerTransformer`类就曾被利用进行...
java 开发漏洞检测程序 Yasca
05-15
它主要用于帮助企业或个人开发者在软件开发过程中发现并修复安全漏洞,提高代码的安全性。Yasca通过静态分析源代码来查找潜在的安全问题,而不是依赖于程序的运行状态,这使得它能够在代码编写阶段就能进行安全检查...
Java编写的Web漏洞靶场.zip
01-14
在靶场中,安全专业人员可以模拟攻击者的行为,发现系统和应用的漏洞,并进行渗透测试,从而及时修复和改进防御机制。同时,这也为防御方提供了锻炼机会,通过对抗攻击提高防御能力。 靶场的搭建还促进了团队协作与...
java web系统的常见安全问题
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-11 1579
java开发的系统在发布到互联网后都需要进行安全扫描,本文主要总结开发web系统需要注意的与系统安全相关的问题。因为在做需求开发时,很少产品会将系统安全的因素考虑在内,总觉得实现个需求很简单,就是一些页面,一些接口。以至于在构筑安全的逻辑上没给工时,开发人员也没想太多去实现这些有必要有看不见的东西。所以一般就变成了系统上线后,发现安全问题,再返工补漏洞的现象。显得非常不专业。
Java包含常见web漏洞测试项目
12-06
一个包含web常见漏洞的maven 项目。JDK8 +springMVC+JDBC+mybatis+mysql。使用Eclipse导入maven项目,用sql创建数据库和表,修改数据库连接密码。即可运行。有兴趣的可以研究测试。
web漏洞 总结
YouthBelief的博客
10-10 1016
小迪WEB一、SQL1.sql注入原理2.sql注入的种类3.SQL注入的绕过 (待补充)sql注入流程判断数据库类型的语句写入webshell的条件如果你在的目录没有执行权限怎么办?(待补充)sql注入的条件into outfile函数作用xp_cmdshell了解过哪些数据库的sql注入,怎么快速判断属于哪个数据库?时间延时的原理?sleep()不能用怎么办http头注入有了解吗?sql注入的防护方法order by 注入了解吗?二、使用步骤1.引入库2.读入数据 WEB 一、SQL 1.sql注入原
Java WEB安全问题及解决方案
天书夜读
11-09 2117
1.弱口令漏洞 解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密。 2.未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置filter来过滤掉无效用户的连接请求。 3.JSP页面抛出的异常可能暴露程序信息。有经验的入侵者,可以从JSP程序的
Javaweb安全——反序列化漏洞- CC1链
weixin_43610673的博客
05-24 1189
Common-Collections利用链1 第一次接触反序列化漏洞时写的初识Java反序列化漏洞这篇文章当中已经分析过一遍Common-Collections的两条链子(分别用的TransformedMap和LazyMap构造恶意对象反射链,AnnotationInvocationHandler(CC1)和BadAttributeValueExpException(CC5)调用transform())。这次从Common-Collections1开始再捋一遍,顺便自己写一遍exp加深印象。 本文环境为jd
文件上传漏洞的利用和防御
qq_61714717的博客
12-12 4303
文件上传漏洞的学习
java web 安全 注意事项,常见JavaWeb安全问题和解决方案
weixin_36289742的博客
03-13 355
1.SQL注入:程序向后台数据库传递SQL时,用户提交的数据直接拼接到SQL语句中并执行,从而导入SQL注入攻击。字符型注入:黑色部分为拼接的问题参数select * from t_user where name='test' or '1' = '1';数字型注入:黑色部分为拼接的问题参数(对于强类型语言,字符串转int类型会抛异常。所以这种注入方式一般出现在php等弱类型语言上)select *...
Java防御目录穿越漏洞方法_Elasticsearch漏洞汇总
weixin_33467739的博客
03-01 1500
简介Elasticsearch是一个开源的分布式、RESTful 风格的搜索和数据分析引擎,它的底层是开源库Apache Lucene。Lucene 可以说是当下最先进、高性能、全功能的搜索引擎库——无论是开源还是私有,但它也仅仅只是一个库。为了充分发挥其功能,你需要使用 Java 并将 Lucene 直接集成到应用程序中。 更糟糕的是,您可能需要获得信息检索学位才能了解其工作原理,因为Lucen...
JAVA Web应用安全:存储型XSS漏洞修复策略
"JAVA Web应用常见漏洞修复建议" 在JAVA Web应用开发中,安全问题至关重要,因为不安全的代码可能会导致数据泄露、系统瘫痪甚至法律风险。本资源主要探讨了几个常见安全漏洞,包括跨站脚本(XSS)攻击,特别是...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

奋力向前123

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值