WEB应用程序漏洞修复

最新推荐文章于 2024-04-17 14:13:24 发布
最新推荐文章于 2024-04-17 14:13:24 发布
阅读量1.6k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41955582/article/details/97000474
版权

1.检测到目标Redis数据库未授权访问
解决方法:
在项目中的config.properties中添加redis.password=123456
在applicationContext_redis.xml中配置密码
修改redis中的配置文件 src下的redis.conf 添加指令 requirepass 123456
重启redis,重启项目即可

  1. 检测到目标URL存在内部IP地址泄露(项目没有配置使用域名访问不解决这个漏洞)
    解决办法:
    项目是部署在Tomcat中的,直接通过修改Tomcat配置文件中的server.xml实现

原来的配置应该是这样的

<Engine name="Catalina" defaultHost="localhost">
      <Host name="localhost"  appBase="webapps"
            unpackWARs="true" autoDeploy="true"
            xmlValidation="false" xmlNamespaceAware="false">

修改为如下的配置即可

<Engine name="Catalina" defaultHost="项目实际域名">
      <Host name="项目实际域名"  appBase="webapps"
            unpackWARs="true" autoDeploy="true"
            xmlValidation="false" xmlNamespaceAware="false">

3.Apache Struts2 S2-045 远程代码执行漏洞(CVE-2017-5638)
解决办法:直接在pom.xml中指定了struts的版本为2.5.10.1

4.检测到目标URL存在http host头攻击漏洞
解决办法:修改tomcat\conf\server.xml

将name修改为ip地址即可,重启tomcat

  1. 检测到目标网站存在无效链接
    解决办法:将页面注释掉的无效链接删除

6.检测到目标URL存在SQL注入漏洞
解决方法:(配置xxssProtection)将项目中配置的过滤器注释放开

xxssProtection
com.wisdombud.web.filter.XXSSProtectionFilter

    <init-param>
        <!-- If not specified the default is false -->
        <param-name>report-only</param-name>
        <param-value>false</param-value>
    </init-param>
    <!-- Optionally add a reporter-uri -->
    <init-param>
        <param-name>sandbox</param-name>
        <param-value>allow-forms allow-same-origin allow-scripts allow-popups allow-pointer-lock
            allow-popups-to-escape-sandbox allow-top-navigation allow-orientation-lock
        </param-value>
        <!-- true enables the sandbox behaviour - the default is false - one can also specify exceptions, e.g.
        <param-value>allow-forms allow-same-origin</param-value>
        -->
    </init-param>
    <!-- Remember that special keywords have to be put in single quotes, e.g. 'none', 'self' -->
    <init-param>
        <!-- If not specified the default is 'none' -->
        <param-name>default-src</param-name>
        <param-value>*</param-value>
    </init-param>
    <init-param>
        <param-name>img-src</param-name>
        <param-value>'self' data:</param-value>
    </init-param>
    <init-param>
        <param-name>script-src</param-name>
        <!--<param-value>'self' job.cqupt.edu.cn</param-value>-->
        <param-value>'self' 'unsafe-inline' 'unsafe-eval'</param-value>
    </init-param>
    <init-param>
        <param-name>style-src</param-name>
        <param-value>'self' 'unsafe-inline'</param-value>
    </init-param>
    <init-param>
        <param-name>connect-src</param-name>
        <param-value>'self'</param-value>
    </init-param>
    <init-param>
        <param-name>font-src</param-name>
        <param-value>'self'</param-value>
    </init-param>
    <init-param>
        <param-name>object-src</param-name>
        <param-value>'self'</param-value>
    </init-param>
    <init-param>
        <param-name>media-src</param-name>
        <param-value>'self'</param-value>
    </init-param>
    <init-param>
        <param-name>frame-src</param-name>
        <param-value>'self'</param-value>
    </init-param>
</filter>
<filter-mapping>
<filter-name>xxssProtection</filter-name>
<url-pattern>*.html</url-pattern>
</filter-mapping>

7.检测到目标站点存在javascript框架库漏洞
解决办法:将jquery从1.11.3升级到3.3.1

咖啡色的笑
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
检测目标url存在内部ip地址泄露_经典面试题:浏览器输入 URL 背后发生了什么?(图解版)...
weixin_39949776的博客
11-23 1839
概述过程----分为两个大部分,一部分是**生成HTTP请求**,另外一部分是**浏览器委托协议栈**进行通信。大体分为如下步骤:1. 解析url2. 生成HTTP请求3. 向DNS服务器查询WEB服务器的IP地址4. 全世界DNS服务器的接力5. 委托协议栈发送信息6. 创建套接字7. 连接服务器8. 收发数据9. 断开连接**由于知识点有点多,请各位大佬细听小弟娓娓道来。**...
目标URL存在内部IP地址泄露--分析解决
热门推荐
小元子子的博客
06-28 1万+
详细描述内部 IP 定义为下列 IP 范围内的 IP: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255  对攻击者而言,泄露内部 IP 非常有价值,因为它显示了内部网络的 IP 地址方案。知道内部网络的 IP 地址方案,可以辅助攻击者策划出对内部网络进一步的攻击。  解决办法内部...
Web应用常见漏洞修复方案
12-01
1.SQL注入攻击 2. 跨站脚本攻击 3. 跨站请求伪造
Javascript框架库漏洞验证,劲爆
最新发布
04-17 629
经常看到漏扫扫出来这个漏洞,查看了网上好多文章都没有正确的验证方法都在扯淡。今天我来点干货记录一下这个漏洞到底是怎么触发JS生成XSS的,也方便后面漏洞验证报告的书写。AWVS扫出来的JS框架库漏洞RSAS扫出来的JS框架库漏洞
计网,还得从url说起
learnjiawa的博客
11-29 255
计网,还得从url说起 在学习的过程中,如果我们可以通过一个问题,把所有我们需要掌握的知识点串联在一起,意味着我们只需要搞明白这个问题,我们就掌握了相关的知识。最近我就在学习计算机网络,我一直在琢磨怎么把计算机网络中那么多纷繁复杂的知识点一网打尽,我想着或许可以从这个问题入手——在浏览器的地址栏中输入url后按下回车,后面发生了什么? 我以前觉得这个问题挺土气的,现在回头再来看看这个问题,反倒觉得这个问题很奇妙,这种感觉的转变,我觉得是因为我回答这个问题的答案可能发生了点变化。 几个月前,我会这样回答这个问
Content-Location文件头定义方法(防止内部IP地址泄漏二法)
01-10
当访问IIS网站上的静态HTML文件时,比如index.htm,IIS响应中会包含一个Content-Location文件头。如果IIS配置不当,Content-Location文件头中将包含服务器的IP地址内容,这样就导致了隐藏在NAT防火墙或者代理服务器后面的内部IP地址信息的泄漏,给攻击者有漏可乘。   下面我就介绍2种解决办法,并不包含Content-Location’>文件头内容,所以接着要在IIS管理器中为之创建一个定制文件头,以返回特殊的Content-Location文件头内容。   下面我们来看看具体的操作步骤:   1、将静态页面文件(比如 .htm,.html)改名为.
Web网站、应用常见漏洞
weixin_43578304的博客
12-20 1393
最近在网站上线时,安全检查发现了一些网站的漏洞,这里写篇文章把常见的漏洞记录一下。
常见web开发安全漏洞修复方案
小刘的博客
02-02 3256
1.不充分账户封锁 (一) 安全问题描述 发送了两次合法的登录尝试,并且在其间发送了几次错误的登录尝试。最后一个响应与第一个响应相同。这表明存在未充分实施帐户封锁的情况,从而使登录页面可能受到蛮力攻击 解决方案 效果,当用户登录错误3次,则提醒30分钟后才可再次登录 if(!checkLock(session, username)) { Syst...
应用安全漏洞扫描问题处理整理
发现问题,面对问题,分析问题,解决问题,总结问题
09-04 5290
安全漏洞扫描是一种针对系统、设备、应用的漏洞进行自动化检测、评估到管理的过程,广泛应用于信息系统安全建设和维护工作,是评估与度量信息系统风险的一种基础手段。
WEB应用漏洞修复汇总
专注企业信息安全-sec
11-23 1706
仅供参考   1.SQL注入 风险等级:高危 漏洞描述: SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险,这就是SQL Injection,即SQL注入漏洞漏洞危害: 机密数据被窃取; 核心业务数据被篡改; 网页被篡改; 数据库所在服务器被攻击从而变为傀儡主机,导致局域网(内网)...
WEB应用程序点击劫持漏洞研究及防御方法
12-11
web程序劫持漏洞及防御的方法。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。
彻底防止内部泄密保护内网信息安全解决方案
05-20
彻底防止内部泄密保护内网信息安全解决方案 彻底防止内部泄密保护内网信息安全解决方案
x-scan端口扫描
09-01
多线程端口扫描 采用多线程方式对指定IP地址段(或单机)进行安全漏洞检测,支持插件功能。扫描内容包括:远程服务类型、操作系统类型及版本,各种弱口令漏洞、后门、应用服务漏洞、网络设备漏洞、拒绝服务漏洞等二十几个大类。对于多数已知漏洞,我们给出了相应的漏洞描述、解决方案及详细描述链接,其它漏洞资料正在进一步整理完善中,您也可以通过本站的“安全文摘”和“安全漏洞”栏目查阅相关说明。 3.0及后续版本提供了简单的插件开发包,便于有编程基础的朋友自己编写或将其他调试通过的代码修改为X-Scan插件。另外Nessus攻击脚本的翻译工作已经开始,欢迎所有对网络安全感兴趣的朋友参与。需要“Nessus攻击脚本引擎”源代码、X-Scan插件SDK、示例插件源代码或愿意参与脚本翻译工作的朋友,可通过本站“X-Scan”项目链接获取详细资料:“http://www.xfocus.net/projects/X-Scan/index.html”。
Web漏洞检测修复方案.doc
05-17
Web 漏洞检测修复方案是指对 Web 应用程序漏洞进行检测修复,以确保 Web 应用程序的安全性。该方案涵盖了认证和授权类、命令执行类等多种类型的漏洞,旨在帮助开发者和安全专家快速检测修复 Web 漏洞。 ...
Web应用程序测试报告
11-26
Web应用程序测试报告是评估Web应用安全性的重要文档,它详尽地揭示了可能存在的安全漏洞和潜在威胁。在当今数字化世界中,Web应用是业务运行的关键组成部分,因此确保它们的安全至关重要。IBM Security AppScan ...
WEB开发安全漏洞修复方案
05-22
1.3.9 应用程序错误 25 1.3.10 SQL注入 29 1.3.11 发现数据库错误模式 38 1.3.12 启用了不安全的HTTP方法 48 1.3.13 发现电子邮件地址模式 50 1.3.14 HTML注释敏感信息泄露 51 1.3.15 发现内部IP泄露模式 52 1.3.16 ...
检测目标url存在内部ip地址泄露_Cendertron,动态爬虫与敏感信息泄露检测
weixin_39633090的博客
11-14 1108
Cendertron,动态爬虫与敏感信息泄露检测Cendertron = Crawler + RendertronCendertron https://url.wx-coder.cn/HinPM 是基于 Puppeteer 的 Web 2.0 动态爬虫与敏感信息泄露检测工具。其依托于 xe-crawler 的通用爬虫、调度与缓存模型,新增了 Monkey Test 以及 Request Inter...
检测目标url存在内部ip地址泄露_Virus Total: 泄露你公司机密的“最佳”途径
weixin_39701735的博客
11-14 1274
大家好,今天我想分享一个有趣的黑客技巧,就是你可以利用Virus Total来获取某些公司的机密信息。什么是Virus Total?Virus Total是整合了众多杀毒产品的在线病毒扫描引擎,以供用户发现一些自己的防护软件不能查杀的病毒,或对一些可疑的病毒报警进行二次验证。同时,防病毒软件制造商也可以了解到那些是自己的杀毒引擎不报警,而其他杀毒引擎报警的恶意文件,以帮助其改进产品。最后,这也会提...
检测目标网站存在无效链接
11-04 6426
检测目标网站存在无效链接 未分类漏洞 低 1 查看 漏洞URL: http://www.iotsoft.tk/plus/shops_buyaction.php 详细描述: 无效链接是指存在于页面中,但其指向的资源已经不存在。 本漏洞属于Web应用安全常见漏洞. 解决方案:   ...
web应用程序漏洞检查工具
04-28
有很多 web 应用程序漏洞检查工具,常见的包括: 1. Burp Suite:功能强大的 web 渗透测试工具,具备漏洞扫描、代理拦截、数据篡改等功能。 2. OWASP ZAP:免费开源的 web 应用程序漏洞扫描器,支持自动和手动扫描,具备代理、拦截、自动化等功能。 3. Acunetix:功能强大的 web 应用程序漏洞扫描器,支持自动和手动扫描,可以检测出 SQL 注入、跨站点脚本等漏洞。 4. Nessus:网络漏洞扫描器,可以扫描 web 应用程序中的漏洞,并提供修复建议。 5. AppScan:IBM 公司开发的 web 应用程序漏洞扫描器,可以自动扫描 web 应用程序中的漏洞,并提供修复建议。 这些工具都有各自的特点和优劣,可以根据具体需求选择适合的工具进行使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值