网络安全

最新推荐文章于 2024-08-24 17:24:35 发布
最新推荐文章于 2024-08-24 17:24:35 发布
阅读量565 收藏 1
点赞数
文章标签: 前端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41176306/article/details/112849944
版权

文章目录

跨站脚本攻击(存储型)

风险描述:

某接口功能为用户修改头像等个人信息,由于用户界面中头像的获取来源为用户提交的地址,且未对图片路径userImg变量的参数进行过滤,导致用户可篡改页面,提交任意恶意代码,造成存储型跨站。

修复建议:

修改后台代码,对用户提交的userImg,realname等其他参数进行过滤。

跨站伪造请求(CSRF)

风险描述:

CSRF指攻击者盗用了受害者的身份,以受害者的名义发送恶意请求。具体为构造一个post请求的网页,诱导受害者在登录测试网站的情况下去点击,可以看到成功的将受害者的头像修改为远程调用的图片。

修复建议:

1.验证 HTTP Referer 字段;

2.在请求地址中添加 token 并验证;

3.在 HTTP 头中自定义属性并验证。

服务端伪造请求(SSRF)

风险描述:

某接口用于远程图片抓取保存,可以正常的获取远程服务器的图片资源并保存下来。服务端在获取远程服务器资源的同时也在和远程服务器建立会话,因此可以利用该接口获取网站的出口IP地址。

修复建议:

如不需要,可将远程上传图片功能去掉,ueditor目录下的getRemoteImage.jspx文件删除掉,或者更名使用。

用户枚举

风险描述:

由于错误配置或设计缺陷,当向系统提交有效账户和无效账户时,服务器会有不同的响应。(如登录界面提示:密码错误 & 用户名不存在)

利用响应的不同,攻击者可以获取到系统已经存在的账户,可用于暴力破解,进一步获取账户的登录密码。

修复建议:

统一身份验证失败时的响应,如:用户名或密码错误。

Robots.txt 文件泄露

风险描述:

Robots.txt在网站目录下可被任意访问,可能会检索有关站点文件系统结构的信息,这可能会帮助攻击者映射此 Web 站点

修复建议:

1.robots.txt 文件不应用来保护或隐藏信息

2.您应该将敏感的文件和目录移到另一个隔离的子目录,以便将这个目录排除在 Web Robot 搜索之外。

3.将其设为隐藏文件

注:

robots协议也叫robots.txt(统一小写)是一种存放于网站根目录下的ASCII编码的文本文件,它通常告诉网络搜索引擎的漫游器(又称网络蜘蛛),此网站中的哪些内容是不应被搜索引擎的漫游器获取的,哪些是可以被漫游器获取的。

robots协议并不是一个规范,而只是约定俗成的,所以并不能保证网站的隐私。

robots.txt是搜索引擎中访问网站的时候要查看的第一个文件。

当一个搜索蜘蛛访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,所有的搜索蜘蛛将能够访问网站上所有没有被口令保护的页面。

百度官方建议,仅当您的网站包含不希望被搜索引擎收录的内容时,才需要使用robots.txt文件。

如果您希望搜索引擎收录网站上所有内容,请勿建立robots.txt文件。

如果将网站视为酒店里的一个房间,robots.txt就是主人在房间门口悬挂的“请勿打扰”或“欢迎打扫”的提示牌。这个文件告诉来访的搜索引擎哪些房间可以进入和参观,哪些房间因为存放贵重物品,或可能涉及住户及访客的隐私而不对搜索引擎开放。但robots.txt不是命令,也不是防火墙,如同守门人无法阻止窃贼等恶意闯入者。

Cookie未设置Http-only

风险描述:

cookie没有HttpOnly标志设置。

当cookie设置了标志,浏览器cookie只能通过服务器而不是客户端脚本。

这是会话cookie的重要安全保护。

未启用 httponly 属性可能会被跨站点脚本威胁,可能导致Cookie 及站点用户的敏感信息被窃取。

修复建议:

为cookie设置HttpOnly属性。

脆弱的js库

风险描述:

使用已知存在漏洞的版本js库会导致受到危害。

修复建议:

升级js库

任意URL跳转

风险描述:

某个 HTTP 参数被发现保存有 URL 值,并导致 Web 应用程序将请求重定向至指定的 URL。

通过将 URL 值修改为指向恶意站点,攻击者可以成功发起网络钓鱼诈骗并窃取用户凭证。

修复建议:

设置重定向白名单,限制重定向范围,在控制页面转向的地方校验传入的 URL 是否为可信域名。

登陆地址泄露

风险描述:

后台管理页面放于公网,在公网进行登录

修复建议:

设置访问白名单,禁止后台管理页面放于公网

不安全的http请求方法

风险描述:

WebDAV (Web-based Distributed Authoring and Versioning) 是一种基于 HTTP 1.1协议的通信协议。

它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,使应用程序可直接对Web Server直接读写,还可以支持文件的版本控制。

不合理的权限配置导致任意用户可以通过PUT方法直接上传任意文件到有写权限的目录,例如攻击者可上传WebShell,从而控制网站。

修复建议:

【1】限制PUT、DELETE、SEARCH、COPY、MOVE等危险的方法的访问权限

【2】如果不需要使用上述方法,应关闭方法

Webservice接口泄露

风险描述:

WebService接口地址泄露,可能会被恶意调用。

且接口信息可能泄露了网站真实IP。

修复建议:

对该地址设置访问权限。

静尾
关注
专栏目录
jetty禁用http put和delete等方法的方式
shuipinglp的专栏
10-30 2128
1. 基于xml的配置方式 <security-constraint> <display-name>Example Security Constraint</display-name> <web-resource-collection> <web-resource-name>...
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 016-网络安全应急技术与实践(Web层-应急响应技术总结)
时光隧道
02-11 7万+
Web安全事件应急响应技术是指针对Web应用程序遭受风险和安全漏洞的事件,如网络攻击、数据泄露、恶意软件等,迅速采取措施进行监测、分析和应对的技术手段。应急响应技术描述1. 监测和日志分析通过实时监测和分析Web应用程序的日志,以便发现异常活动和潜在的安全威胁。2. 威胁情报收集与分析收集和分析来自多个来源的威胁情报,以帮助识别和应对潜在威胁。3. 漏洞扫描和漏洞管理通过定期对Web应用程序进行漏洞扫描,及时发现和修复潜在的安全漏洞。4. 网络流量分析。
Web安全测试漏洞场景
weixin_30480651的博客
05-27 1678
HTTP.sys 远程代码执行 测试类型: 基础结构测试 威胁分类: 操作系统命令 原因: 未安装第三方产品的最新补丁或最新修订程序 安全性风险: 可能Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容 技术描述: 通过 IIS 6 引入的 HTTP 协议堆栈 (HTTP.sys) 错误地解析了特制的 HTTP 请求。...
不安全的HTTP方法
LuckySec
11-01 3339
不安全的 HTTP 方法一般包括:PUT、DELETE、COPY、MOVE、SEARCH、PROPFIND、TRACE 等。不合理的权限配置可能导致网站被攻击者非法入侵。使用Burpsuite抓取网站数据包,修改请求包的方法为OPTIONS,响应包中出现PUT、DELETE、TRACE等不安全的 HTTP 方式。
面试常问:接口信息泄漏的危害是什么?
最新发布
liguangyao213的博客
08-24 1037
吉祥知识星球《网安面试指南》《Java代码审计》《Web安全》《应急响应》《护网资料库》
java的访问权限控制
weixin_43222122的博客
03-07 960
访问权限控制 面向对象的核心思想之一就是封装,只把有限的方法和成员公开给别人,这也是迪米特法则的内在要求,使外部类调用方对方法体内的实现细节知道尽可能少,如何实现封装呢?需要使用那些关键字来限制类外部对类内部属性和方法的随意访问,这些关键字就是访问权限控制符。 java中的访问权限包括四个等级,权限控制严格程度由低到高,如下表所示。 访问权限控制及可见范围 访问权限控制符 任何地方 包外子类 包 内 类 内 public OK OK OK OK..
安全测试报告
06-13
系统安全测试报告
WebServie
ldhldh22的博客
08-11 654
webservi调用
网络安全应急预案 信息安全应急预案 应急演练
11-24
DDOS应急预案(不用修改).docx XSS应急预案(已完成).docx 主数据库服务器宕机应急预案(不用修改).docx 开发服务器应急恢复预案(不用修改).dox ...网络与服务器与数据库的信息系统应急预案(不用修改).docx
【愚公系列】2024年02月 《网络安全应急管理与技术实践》 018-网络安全应急技术与实践(主机层-Liunx)
热门推荐
时光隧道
02-12 7万+
Linux主机层安全是指在Linux操作系统的主机层实施的一系列安全措施和策略,用于保护Linux主机免受各种安全威胁和攻击的影响。措施描述使用最新的操作系统和软件版本及时更新操作系统和软件补丁,以修复已知的安全漏洞配置强密码策略设置复杂的密码要求,如密码的长度、复杂度要求等,避免使用弱密码禁用不必要的服务关闭或禁用不需要的网络服务,减少攻击面防火墙配置配置防火墙规则,只允许必要的网络流量进入主机定期备份数据定期备份重要的数据,并将备份数据存储在安全的位置限制用户权限。
企业网络安全最佳实践指南(二)
2301_81250923的博客
12-11 2167
首先是网络安全管理部分。正所谓“三分技术、七分管理”,且不论这“三”和“七”的科学合理性,单从字面上就可以看出管理的重要性。管理是脑,技术是手,脑支配手,手配合脑。所以先将网络安全管理相关内容进行呈现。网络安全管理体系侧重于从管理维度,在网络安全相关法律、法规控制下,制定网络安全整体的战略规划,对网络安全实际工作进行战略指导。配合战略落地,在管理方面的实际工作主要有标准化工作流程、风险管控、应急管理、网络安全重保、安全培训以及计划管理、监督实施等内容。
webservice 密码弱口令漏洞病毒防御介绍
04-23
webservice 如果默认为弱口令,很可能被上传病毒文件,此文档较详细的介绍了病毒的特性和病毒的查杀和防御问题。
GB-T 22239-2019 信息安全技术网络安全等级保护基本要求.pdf
05-16
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
Web Service漏洞挖掘
yggcwhat
04-08 4929
00×01 什么是Web Service Web Service是一个平台独立的,低耦合的,自包含的、基于可编程的web的应用程序,可使用开放的XML(标准通用标记语言下的一个子集)标准来描述、发布、发现、协调和配置这些应用程序,用于开发分布式的交互操作的应用程序。 Web Service技术, 能使得运行在不同机器上的不同应用无须借助附加的、专门的第三方软件或硬件, 就可相互交换数据或集成。依据Web Service规范实施的应用之间, 无论它们所使用的语言、 平台或内部协议是什么, 都可以相互交换数
接口功能泄露防御
qq_42565292的博客
08-03 853
出现的根因:在我们后台开发时,经常使用接口功能管理的依赖包,以便我们日常开发的维护,以及和前端同事进行对接,一目了然的看懂接口文档。但是我们发布的时候忘了关闭接口管理文档。 造成危害: 敏感数据包括但不限于:口令、密钥、证书、话标识、License、隐私数据 (如短消息的内容)、授权凭据、个人数据(如姓名、住址、电话等)等,在程序 文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据。攻击者可通过上述方式获取网站敏感文件,收集网站敏感信息,从而有针对性 的进行利用。 ** 防御方法: ** 在
软件测试笔记——19.测试方案和测试用例的区别
程序员二黑
12-05 2817
前言 在测试的面试过程中,经常有面试官问“测试方案和测试用例的区别”。两者都是测试的产出,想要区别两者可以从下面的这些方面着手。 测试方案的定义 测试方案给出了我们必须测试的内容。测试场景就像一个抽象的测试用例。 测试方案回答“要测试什么”。 假设我们需要测试应用程序登录页面的功能。登录页面功能的测试方案如下: 测试方案示例:验证登录功能 测试用例的定义 测试用例是一个测试方案的可以是正向的或者是逆向的可执行步骤的集合,包含一组前置条件、测试数据、预期结果、后置条件和实际结果。 测试用例回答“如何测.
解决cxf Available SOAP services接口的时隐藏接口页面
qingfeng2556的博客
03-21 8447
正常情况下,发布cxf后都出现 Available SOAP services的页面,这个页面把所有接口都暴露出来,甚至具体参数类型。 为解决这个问题,只需在web.xml中配置 CXFService org.apache.cxf.transport.servlet.CXFServlet hide-service-list-page用来隐藏服务列表页 true
【Spring_WebService(CXF)】环境的搭建以及服务的暴露
Laughing_Vzr_KISS Formula
04-15 942
SPring
web服务器启用了不安全的HTTP方法
bobozai86的博客
09-14 7984
1、什么是不安全的HTTP方法 开发人员、运维人员一般可能用于调试服务器,开启了一些客户端能够直接读写服务器端文件的方法,例如:DELETE, PUT, COPY, MOVE, PROPFIND, PROPPATCH, SEARCH, LOCK, UNLOCK 等HTTP协议支持的方法。 2、安全风险 可能直接通过浏览器直接在Web服务器上上传、修改或删除Web页面、脚本和文件。 3、不安...
软通新员工网络安全考试重点解析
"软通新员工网络安全考试答案.pdf" 是一份针对网络安全基础知识的测试文档,主要涵盖网络级安全、数据库安全、端口扫描工具、安全总体要求、数据完整性、对称密钥加密、合作方产品安全标准、管理访问通道安全、用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值