常见漏洞修复方案

最新推荐文章于 2024-07-21 21:04:50 发布
最新推荐文章于 2024-07-21 21:04:50 发布
阅读量4.3k 收藏 2
点赞数
文章标签: 渗透测试 安全 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44806973/article/details/121569183
版权
本文总结了常见漏洞修复方案,重点探讨了SQL注入和XSS漏洞的防御方法。对于SQL注入,建议使用预编译的PreparedStatement,避免直接拼接SQL,防止参数被误解析为SQL语句。在XSS防御方面,应根据输出上下文对内容进行编码,如HTML编码、JavaScript编码等,并限制富文本中的危险标签和属性。
摘要由CSDN通过智能技术生成

基础的漏洞修复方案

学习目标:

在这里收集总结一下常见漏洞的修复方案吧,给自己三天时间收集整理,尽量详细。
下面都是从

  1. 是什么
  2. 为什么
  3. 怎么做

参照:https://github.com/wooyunwang/Fortify

SQL注入漏洞

  1. 对用户输入的参数进行严格的过滤
  2. 将数据库里面的内容进行严格的加密
  3. 不要将数据库的错误查询进行回显
  4. 是用预编译,下面详细讲解一下预编译

预编译

  1. 什么是预编译
    数据库接收到sql语句之后,需要词法和语义解析,优化sql语句,制定执行计划。这需要花费一些时间。但是很多情况,我们的一条sql语句可能会反复执行。在某种情况下,多条SQL语句都只有某些关键字不同。所以为了优化SQL语句的执行效率,所有产生了SQL预编译,当然这也成为了防止SQL注入的最好方式。预编译就是将这类语句的值用占位符代替:如下面的问号。
//赋值语句用?代替
string sql = "select id from users where username = ? and password= ?";
ps = connection.preparestatement(sql);
//在给?赋值之前,预编译就会把上面的语句送入数据库进行解析,如果没有
//错的话就会返回

//给?赋值
ps.setstring(1,tom);
ps.setstring(2,passwd);
resultset=psmt.executeQuery();

预编译语句被DB的编译器编译后的执行代码被缓存下来,那么下次调用时只要是相同的预编译语句不需要编译,只要将参数直接传入编译过的语句执行代码中(相当于一个涵数)就会得到执行。
预编译是用过PreparedStatement和占位符来实现的。

  1. 为什么会防止SQL注入
    使用预编译,而其后注入的参数不会再进行SQL编译。也就是说其后注入进来的参数系统将不会认为它会是一条SQL语句,而默认其是一个参数,参数中的or或者and 等就不是SQL语法保留字了。
    这最主要是由于不带占位符的拼接必须要用单引号’来包裹SQL字符串,而占位符的填写无需单引号,即使填入的变量是String str = “‘admin’”&#

最低0.47元/天 解锁文章
kwixb
关注
常见漏洞修复(一)
加金开发
11-14 402
Apache Tomcat文件包含漏洞 这个是啥呢?项目有必要修复吗? 该漏洞是由于Tomcat AJP协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器webapp下的任意文件。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。 该漏洞是apche的版本漏洞, 影响版本: Apache Tomcat 6 Apache Tomcat 7 < 7.0.100 Apache Tomcat 8 < 8.5.51 Apache Tomcat 9 < 9.0.
Web应用常见漏洞修复方案
12-01
1.SQL注入攻击 2. 跨站脚本攻击 3. 跨站请求伪造
网络安全漏洞检测与恢复技术研究
最新发布
niederhoge的博客
07-21 787
2.1网络安全漏洞的定义与分类网络安全漏洞,简单来说,是指在信息系统的硬件、软件、协议等方面存在的可能被攻击者利用的缺陷或弱点。从更具体的角度来理解,网络安全漏洞意味着系统在设计、实现、配置或运行管理等环节出现了瑕疵,使得攻击者能够突破系统的正常防护机制,获取未经授权的访问、篡改数据、破坏系统功能等。这些漏洞可能存在于操作系统、应用软件、网络设备、数据库等各个层面。网络安全漏洞可以进行多种分类。一种常见的分类方式是根据漏洞产生的原因。
常见漏洞原理及修复方式
Mr_helloword的博客
08-03 4437
漏洞原理及防护 Burte Force(暴力破解) 在web攻击中,一般会使用这种手段对应用系统的认证信息进行获取。 其过程就是使用大量的认证信息在认证接口进行尝试登录,直到得到正确的结果。 为了提高效率,暴力破解一般会使用带有字典的工具来进行自动化操作。 防御: 1.是否要求用户设置复杂的密码; 2.是否每次认证都使用安全的验证码(想想你买火车票时输的验证码~)或者手机otp; 3.是否对尝试登录的行为进行判断和限制(如:连续5次错误登录,进行账号锁定或IP地址锁定等); 4.是否采用了双因素认证; XS
PrestaShop 网站漏洞修复如何修复
网站安全专家
01-01 402
PrestaShop网站的漏洞越来越多,该网站系统是很多外贸网站在使用的一个开源系统,从之前的1.0初始版本到现在的1.7版本,经历了多次的升级,系统使用的人也越来越多,国内使用该系统的外贸公司也很多,PrestaShop扩展性较高,模板也多,多种货币自由切换,并支持信用卡以及paypal支付,是外贸网站的首选。就在最近几天,PrestaShop被爆出有远程代码注入漏洞,该漏洞影响范围较光,危害较...
项目中必须对应的隐性需求-安全漏洞修复
weixin_34411563的博客
01-02 216
WHAT 项目中必须对应的隐性需求-安全漏洞修复   WHY     小时候下围棋,总乐于持白子。因为我的打法是“从那里来我哪里堵”,在防守中寻找对方的漏洞。这种作战方法是有底层的思想根因的:就是懒惰。不愿意去主动思考布局。     在这一思想的引导下,我目前正面临着过去十多年积累起来的困境。记得大学之前,面对一个认识的人,我心里是有预期的。我大体知道这个人在想什么。慢慢的,除了我周围的...
SQL+XSS漏洞修复方案
04-13
SQL注入和跨站脚本(XSS)是两种常见的网络安全漏洞,它们对网站的数据安全性和用户隐私构成严重威胁。在本文中,我们将深入探讨这两种漏洞的原理、危害以及如何通过核心代码修复这些问题。 首先,SQL注入是攻击者...
WEB开发安全漏洞修复方案 (2).pdf
07-14
文档名称为"WEB开发安全漏洞修复方案",其主要关注的是在互联网开发中常见安全问题以及对应的修复策略。本文档的目的是提供一个详尽的安全漏洞清单,并为每个问题提出具体的解决方案,以保护Web应用程序免受攻击。...
weblogic_tls及ssl类漏洞修复方案
05-18
标题中的“weblogic_tls及ssl类漏洞修复方案”是指一套旨在针对Oracle WebLogic服务器中TLS(传输层安全协议)和SSL(安全套接层)相关安全漏洞修复措施。TLS和SSL是广泛用于互联网通信加密的技术,能够保证数据...
WEB开发安全漏洞修复方案
05-22
1.1 背景 1 1.2 FSDP安全漏洞清单 1 1.3 安全漏洞修复方案 1 1.3.1 会话标识未更新 1 1.3.2 登录错误消息凭证枚举 2 1.3.3 不充分帐户封锁 2 1.3.4 跨站点脚本编制 3 1.3.5 已解密的登录请求 6 1.3.6 跨站点脚本编制 9 1.3.7 通过框架钓鱼 13 1.3.8 链接注入(便于跨站请求伪造) 18 1.3.9 应用程序错误 25 1.3.10 SQL注入 29 1.3.11 发现数据库错误模式 38 1.3.12 启用了不安全的HTTP方法 48 1.3.13 发现电子邮件地址模式 50 1.3.14 HTML注释敏感信息泄露 51 1.3.15 发现内部IP泄露模式 52 1.3.16 主机允许从任何域进行flash访问 53 1.3.17 主机应用软件漏洞修复 53 1.3.18 目录列表 54 1.3.19 跨站点请求伪造 55 1.1 需要注意的问题 56
WEB开发安全漏洞分析与修复方案(V0.6).docx
08-02
WEB开发安全漏洞分析与修复方案
常见漏洞原理及修复方案
weixin_63560942的博客
03-29 1828
这里介绍一下常见漏洞及其知识。仅用于个人记录学习,需要的时候反复观看,巩固基础。
[杂谈] 常见安全漏洞修复方案
李培刚的博客
04-16 641
原文地址:支付宝开放平台第三方应用安全开发指南,如有侵权请联系删除 常见安全漏洞修复方案1. 跨站脚本(XSS)漏洞漏洞描述漏洞危害解决方案2. CSRF 漏洞漏洞描述漏洞危害解决方案3. HTTP Header 注入漏洞漏洞描述解决方案4. 目录遍历漏洞漏洞描述解决方案5. SQL 注入漏洞漏洞描述漏洞危害解决方案6. 文件下载漏洞漏洞描述解决方案7. 文件上传漏洞漏洞描述解决方案 1. 跨站...
系统常见漏洞的修补
陶博客
09-27 821
(1)、网站留言板或者一些注册页面,未对用的输入做转义及过滤,攻击者可提交精心构造的恶意脚本,可破坏后台网页结构,xss恶意弹窗 解决方案:对链接,参数进行过滤    /// &lt;summary&gt;     /// 过滤特殊字符串,过滤html     /// &lt;/summary&gt;     /// &lt;param name="str"&gt;&lt;/param&gt;...
漏洞修复
sundujing的博客
07-17 808
南邮OJ(Online Judge)存在着许多漏洞,越来越多的用户因此而感到不满,Openxxx决定修复这些漏洞。OJ一共存在着N处漏洞,并且只能一个接一个的修复。每一处漏洞都需要一定的天数去修复,在修复好之前,每天都会产生一定数量的不满意度。Openxxx希望,通过合理安排漏洞修复的顺序,使得在修复的过程中产生尽可能少的不满意度。
常见中高危漏洞修复建议(汇总)
weixin_59047731的博客
04-16 1709
【代码】常见中高危漏洞修复建议(汇总)
"专业Web安全漏洞检测与修复方案详解
Web漏洞检测及修复方案安全团队专业输出的重要工作,涵盖了认证和授权类、命令执行类、逻辑攻击类、注入攻击类、客户端攻击类、信息泄露类等多个方面。在对Web安全进行检测和修复时,必须全面综合考虑各类漏洞的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值