Web漏洞解决方法

最新推荐文章于 2023-02-14 18:06:00 发布
最新推荐文章于 2023-02-14 18:06:00 发布
阅读量178 收藏
点赞数
分类专栏: Java # 安全 文章标签: 安全漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/smartboy_01/article/details/103260880
版权
Java 同时被 2 个专栏收录
21 篇文章 0 订阅
订阅专栏
安全
1 篇文章 0 订阅
订阅专栏

Web漏洞解决方法

加密会话(SSL)Cookie 中缺少 Secure 属性

/**
* 所有需要添加安全的请求加入此方法
*/
private void setSecureCookie(HttpServletRequest request){
	Cookie[] cookies = request.getCookies();
	if(cookies != null && cookies.length > 0){
		cookie.setSecure(true);
	}
}

会话标识未更新

/**
* 登录方法
*/
public String login(){
	Subject subject = SecurityUtils.getSubject();
	//先调用此方法
	subject.loginout();
	// 其他操作
	subjec.login(token);
	return "/";
}

设置错误请求页面响应码

//禁止请求
response.setStatus(403);

响应码介绍:https://www.cnblogs.com/walk1314/p/9146401.html

Java获取对象的IP地址等信息

import javax.servlet.http.HttpServletRequest;  
  
/** 
 * 自定义访问对象工具类 
 *  
 * 获取对象的IP地址等信息 
 * @author X-rapido 
 * 
 */  
public class CusAccessObjectUtil {  
  
    /** 
     * 获取用户真实IP地址,不使用request.getRemoteAddr();的原因是有可能用户使用了代理软件方式避免真实IP地址, 
     *  
     * 可是,如果通过了多级反向代理的话,X-Forwarded-For的值并不止一个,而是一串IP值,究竟哪个才是真正的用户端的真实IP呢? 
     * 答案是取X-Forwarded-For中第一个非unknown的有效IP字符串。 
     *  
     * 如:X-Forwarded-For:192.168.1.110, 192.168.1.120, 192.168.1.130, 
     * 192.168.1.100 
     *  
     * 用户真实IP为: 192.168.1.110 
     *  
     * @param request 
     * @return 
     */  
    public static String getIpAddress(HttpServletRequest request) {  
        String ip = request.getHeader("x-forwarded-for");  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("Proxy-Client-IP");  
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("WL-Proxy-Client-IP");  
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("HTTP_CLIENT_IP");  
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getHeader("HTTP_X_FORWARDED_FOR");  
        }  
        if (ip == null || ip.length() == 0 || "unknown".equalsIgnoreCase(ip)) {  
            ip = request.getRemoteAddr();  
        }  
        return ip;  
    }        
}
DevCsdner
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
信息泄露漏洞JS整改方案
ertertgfhhn的博客
04-09 398
针对线上生产环境JS代码,我们介绍了去除注释、变量更名和代码混淆等多种整改方法。在选择合适的方法时,需要权衡安全性与可维护性之间的关系,并根据实际需求做出决策。在开发环境保留注释可以提高代码的可读性和维护性,但在生产环境应尽量去除注释以减少信息泄露的风险。通过以上整改方法,我们可以有效地提升系统的安全性,防范JS信息泄露漏洞的风险。
vue打包,生成的js文件混淆
最新发布
weixin_47320337的博客
11-30 1403
以上第一、第二条是引用的第三方组件库和第三方的插件,一般会有混淆处理,但是第三条如果将原始代码暴漏出来,可能会有泄密的风险,安全性较高的企业在进行漏洞扫描的时候,就会出现不通过的情况。项目完成时,打包部署的时候会有漏洞扫描的过程,其静态文件static/js下的文件,有些框架会在打包时没有进行混淆处理,这样就会在js文件暴漏出来源代码的信息。混淆度太强或者混淆的转义符太过相同,也可能会造成内存溢出(溢出的原因可能是调用了递归或者确实内存过大)或破坏原始代码,影响功能。如下为遇到这样项目的处理办法,
安全漏洞:JS文件暴露系统绝对路径
阿强的博客
04-26 1360
鼎折覆餗
JS 内存泄漏的几种情况以及解决方案
kun_ding_bei的博客
11-22 2519
内存泄漏的几种情况以及解决方案
Web安全之软件和数据完整性故障类漏洞详解及预防
路多辛的所思所想
02-14 445
当程序整合了三方库、插件、模块等资源时、使用关键数据时、在安装或更新软件时,因为没有校验完整性而导致的安全漏洞统称为软件和数据完整性故障类漏洞(Software and Data Integrity Failures)。在程序开发过程,难免会使用到三方库、插件、模块等,对应的文件很多可能是存储在公共平台上的,例如github、gitlab、gitee等,所以使用这些资源的时候校验它们的完整性尤为重要。当程序使用用户提交的数据或者从三方获取的数据时,如果缺少对数据完整性的校验,也很容易出现安全问题。
phpY2K38的漏洞解决方法实例分析
10-25
1. 升级到64位系统:最直接的解决方法是将系统升级到64位。64位系统可以处理远远大于32位的数值,因此可以避免整型溢出的问题。不过,这种方法可能涉及较大的成本和复杂性。 2. 使用DateTime类:在PHP,可以通过...
sturts2远程代码执行漏洞解决方法
03-04
修复此漏洞方法主要有以下几步: 1. **更新到最新版本**:访问Apache官方归档网站(http://archive.apache.org/dist/struts/)下载Struts2的最新稳定版本。截至描述的信息,测试应用版本为2.3.34,但你应该始终...
ASP.NET Web应用程序常见网络安全漏洞解决方案分析.pdf
09-19
本文将深入探讨*** Web应用程序常见的网络安全漏洞,并提供相应的解决方案。 首先,跨站点脚本攻击(XSS)是Web应用最普遍和最危险的漏洞之一。XSS攻击者通常会将恶意的JavaScript代码注入到网站页面,当其他...
web项目常见漏洞解决方案
weixin_42071232的博客
03-21 7696
1.X-Frame-Options劫持 漏洞类型:内容欺骗 描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见 的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知 情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点 击在iframe页面的一些功能性按钮上。 HTTP 响应头信息...
Web安全知多少
weixin_30896511的博客
08-05 1102
随着Web2.0、网络社交等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程,越来越多的应用都架设在Web平台上。Web业务的迅速发展吸引了黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显。黑客利用网站操作系统的漏洞Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页植入恶意代码,使得...
jsf web.xml配置解析
蓝魔
10-23 1319
JSF笔记 – JSF配置文件的说明和常用配置元素 本文由arthinking发表于4年前 | J2EE | 暂无评论 |  被围观 6,005 views+ 在web.xml配置FacesServlet核心控制器:JSF的配置文件faces-config.xml 传统MVC框架的简化流程图: 所有的Web应用都是基于请求/响应架构的,虽然说JSF不是基于请求
常见Web漏洞的修复方法
18年3月萌新白帽子
07-03 2924
SQL注入1、使用转义函数对xxx参数进行转义2、检查数据类型,使用函数对数据类型进行强制转换3、使用预编译语句XSS1、使用转义函数转义xxx参数2、重要cookie使用HttpOnly,防止Cookie被盗(1) 对一些特殊的标签进行转义;(2) 直接过滤掉JavaScript事件标签和一些特殊的html标签;(3) 将重要的cookie标记为http only;(4) 只允许用户输入我们期望...
Web开发常见的几个漏洞解决方法
weixin_33739541的博客
04-15 760
平时工作,多数是开发Web项目,由于一般是开发内部使用的业务系统,所以对于安全性一般不是看的很重,基本上由于是内网系统,一般也很少会受到攻击,但有时候一些系统平台,需要外网也要使用,这种情况下,各方面的安全性就要求比较高了,所以往往会交付给一些专门做安全测试的第三方机构进行测试,然后根据反馈的漏洞进行修复,如果你平常对于一些安全漏洞不够了解,那么反馈的结果往往是很残酷的,迫使你必须在很多细节上进行...
漏洞扫描工程访问地址+javax.faces.resource.../WEB-INF/web.xml.jsf
qq_31030397的博客
08-28 3997
直接访问下面地址 http://ip访问地址/twbpm/javax.faces.resource…/WEB-INF/web.xml.jsf 可访问到web.xml的具体配置信息:如图 解决方案:在web.xml文件配置 javax.faces.RESOURCE_EXCLUDES .xhtml .class .jsp .jspx .properties .xml ...
Web常见漏洞描述及修复建议
xd_12138的博客
07-21 1013
Web常见漏洞描述及修复建议 (Description of common Web vulnerabilities and Suggestions for fixing them)
web服务器漏洞_测试Web服务器漏洞
culi3118的博客
08-01 474
web服务器漏洞Nikto is a handy tool created by the folks at Cirt.Net for comprehensive scanning of your web servers’ security. Nikto是由Cirt.Net的人们创建的一种便捷工具,用于全面扫描Web服务器的安全性。 As described on the Cirt site: ...
WEB-INF/web.xml泄露漏洞及其利用
热门推荐
Mrs_H的博客
08-10 1万+
前言 之所以写这篇文章,是因为最近在做题的时候,做到了一个有关java的题目。因为对Java Web方面的开发经验很少,所以在做这道题的时候,查了一些关于Java Web相关的知识。感觉以后说不定还会用到,就以这篇文章来总结一下。 关于WEB-INF/web.xml 在了解WEB-INF/web.xml泄露之前,我们先要知道,web.xml是一个什么样的文件,以及它的泄露会出现哪些问题。 咱们先来看看WEB-INF这个文件夹 WEB-INF主要包含以下内容: /WEB-INF/web.xml:Web应用程
s2-005漏洞解决方法
09-09
S2-005漏洞是指在使用Struts 2框架的Web应用程序存在的一种安全风险,攻击者可以通过构造恶意请求利用该漏洞来执行任意的命令。 要解决S2-005漏洞,首先需要确认Web应用程序是否使用了受漏洞影响的Struts 2版本。如果是受影响的版本,应考虑升级Struts 2到最新的安全补丁版本。 此外,还可以采取以下措施来防止利用S2-005漏洞的攻击: 1. 过滤用户输入:在服务器端对用户输入进行严格的验证和过滤,确保应用程序只接收到合法的数据。 2. 使用安全配置文件:在Struts 2配置文件(struts.xml)添加安全配置,限制对敏感资源的访问和执行。 3. 强化访问控制:在Struts 2应用程序实施严格的访问控制,确保只有授权的用户才能执行敏感操作。 4. 日志监控:监控应用程序的访问日志,及时发现异常行为,并采取相应的应对措施。 5. 安全测试:定期进行安全测试,检查应用程序是否存在其他潜在的安全漏洞,并及时修复。 综上所述,通过升级Struts 2框架、过滤用户输入、使用安全配置文件、强化访问控制、日志监控和安全测试等措施,可以有效地解决S2-005漏洞,提高Web应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值