一丶SQL 盲注
原因: 拼接参数进行页面刷新, 其实实际是不会对数据库操作的.
方案: 1丶参数验证 2丶在不影响的情况下, 直接删掉即可
二丶通过 Bash 进行远程命令执行(也称为 Shellshock,也称为 Bashdoor)Bashdoor)
原因: 扫描的时候把Accept响应头串改, 然后进行攻击系统
方案: 1丶如果是 ’苹果’ 的相关联系统, 那就打Bash补丁
2丶获取响应头进行验证即可
三丶文件参数 Shell 命令注入
原因: 修改页面上直接拼接的路径参数
方案: 1丶参数验证 2丶如不影响, 直接删掉即可
四丶会话标识未更新
原因: 在未登录之前会就会产生一个session, 而登录之后用的是登录之前的session
方案: 1丶在登录页面上将session设置无效并过期, 在刷新页面将处理, 登录之后将产生新的session
2丶在登录验证之后, 使用新的session替换旧的session
五丶跨站点请求伪造
原因: Referer响应头被串改
方案: 1丶获取Referer响应头进行验证 2丶表单提交进行token验证(一次则失效)
六丶支持较老的 TLS 版本
原因: 设置了支持TLS版本较低
方案: 将TLS版本设置到较高的版本
七丶未禁用密码表单自动完成属性
*
原因: 填写框会提示之前写过的信息
方案: 添加autocomplete属性将值设置为off即可
*
因web应用需过网络安全过审, 进行漏扫的一些处理, 希望对你有所帮助