web应用漏洞的分析与解决方案

最新推荐文章于 2023-01-12 20:36:54 发布
最新推荐文章于 2023-01-12 20:36:54 发布
阅读量859 收藏
点赞数
分类专栏: 配置 文章标签: xss 经验分享 java 后端 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/spring_is_coming/article/details/112676858
版权
一丶SQL 盲注

在这里插入图片描述
原因: 拼接参数进行页面刷新, 其实实际是不会对数据库操作的.
方案: 1丶参数验证 2丶在不影响的情况下, 直接删掉即可

二丶通过 Bash 进行远程命令执行(也称为 Shellshock,也称为 Bashdoor)Bashdoor)

在这里插入图片描述
原因: 扫描的时候把Accept响应头串改, 然后进行攻击系统
方案: 1丶如果是 ’苹果’ 的相关联系统, 那就打Bash补丁
2丶获取响应头进行验证即可

三丶文件参数 Shell 命令注入

在这里插入图片描述
原因: 修改页面上直接拼接的路径参数
方案: 1丶参数验证 2丶如不影响, 直接删掉即可

四丶会话标识未更新

在这里插入图片描述
原因: 在未登录之前会就会产生一个session, 而登录之后用的是登录之前的session
方案: 1丶在登录页面上将session设置无效并过期, 在刷新页面将处理, 登录之后将产生新的session
2丶在登录验证之后, 使用新的session替换旧的session

五丶跨站点请求伪造

在这里插入图片描述
原因: Referer响应头被串改
方案: 1丶获取Referer响应头进行验证 2丶表单提交进行token验证(一次则失效)

六丶支持较老的 TLS 版本

在这里插入图片描述
原因: 设置了支持TLS版本较低
方案: 将TLS版本设置到较高的版本

七丶未禁用密码表单自动完成属性

在这里插入图片描述*
原因: 填写框会提示之前写过的信息
方案: 添加autocomplete属性将值设置为off即可
*

因web应用需过网络安全过审, 进行漏扫的一些处理, 希望对你有所帮助

功课还没做o_0
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
WEB安全漏洞扫描与处理(下)——安全报告分析漏洞处理
cooldream2009的博客
06-29 3253
目录 1 AppScan生成的安全报告分析 2 漏洞的处理 3 漏洞修复案例 4 结语 1 AppScan生成的安全报告分析 利用AppScan生成安全报告,可以提前对要生成的安全报告的内容进行选择,如下图,最全的安全报告内容,包括摘要,安全性问题,咨询和修订建议,应用程序数据等。 生成的安全报告,基本上包含了以上的内容,具体的样例如下图。 其中的介绍部分,主要介绍了WEB安全不同严重级别的漏洞数量,扫描的时间,测试策略,主机IP,端口,登录方法,登录相关设置等信息。 摘要部分,主
Bash4.3 远程命令执行漏洞
whatiwhere的博客
12-03 2473
实验环境 实验环境 操作机系统:Kali Linux 目标网站:172.16.12.2/cgi-bin/poc.cgi 实验目的 了解本次漏洞形成的原理 学会如何去修复此漏洞 实验工具 NC :是网络工具中的瑞士军刀,它能通过TCP和UDP在网络中读写数据。通过与其他工具结合和重定向,可以在脚本中以多种方式使用它。 Burp Suite:是用于攻击web 应用程序的集成平台。它包含了许多...
Bash Shellshock(Bash远程代码执行)漏洞分析及利用思路
热门推荐
Exploit的小站~
05-10 3万+
 今日爆出一个Bash的RCE漏洞,威力巨大。看了看老外的分析,觉得有必要写一写自己对这个漏洞的理解。 首先,问题起因于一个命令ENV。 原型: env [OPTION]... [NAME=VALUE]... [COMMAND [ARGS]...] Man是这么说的: Display, set, or remove environment variables,Run a comm...
[cgi-bin] 30个漏洞+使用方法
weixin_33782386的博客
04-03 1766
/smspass.plusername=username&password=password/index.cgiwei=ren&gen=command/passmaster.cgiAction=Add&Username=Username&Password=Password/accountcreate.cgiusername=username&password...
WEB页面执行shell命令
Jun626的博客
01-12 2288
无法执行复杂的脚本命令,如带有" |等特殊符号的命令无法执行,如yum、top命令执行结果不完整、仅适用于简单带输出脚本命令,脚本运行账号为apache。限制用户访问cgi-bin目录,修改/etc/httpd/conf/httpd.conf。5.cgi-bin目录执行shell脚本格式。配置http页面账号密码访问,也可实现安全性。上面是我的微信和QQ群,欢迎新朋友的加入。注意修改代码中ip,更改为服务器ip或域名。记得给执行权限,chmod a+x *需要配置一下apache2。测试:在浏览器中输入。
Web应用漏洞分析及防御解决方案研究
05-18
Web应用漏洞分析Web应用漏洞是由于编程错误或设计缺陷导致的安全问题,它们使得攻击者有机会利用这些漏洞,对Web应用程序进行非法操作,如数据窃取、系统破坏或者传播恶意软件。常见的Web应用漏洞包括: 1. *...
ASP.NET Web应用程序的安全解决方案浅析
01-01
客户端与Web应用程序之间的安全隐患:代码注入(跨站点脚本或缓冲区溢出攻击)、网络监控(密码和敏感应用程序数据探测)、参数破解(表单字段、查询字符串、Cookie、视图状态、HTTP头信息)、会话状态变量ID取得、...
Web漏洞检测及修复方案.doc
05-17
Web 漏洞检测及修复方案是指对 Web 应用程序的漏洞进行检测和修复,以确保 Web 应用程序的安全性。该方案涵盖了认证和授权类、命令执行类等多种类型的漏洞,旨在帮助开发者和安全专家快速检测和修复 Web 漏洞。 ...
ASP.NET Web应用程序常见网络安全漏洞解决方案分析.pdf
09-19
ASP.NET Web应用程序常见网络安全漏洞解决方案分析.pdf
Web应用安全解决方案.pdf
最新发布
11-02
Web 应用安全解决方案 本文概述了 Web 应用安全解决方案,旨在保护 Web 应用免受攻击和篡改。文章首先介绍了 Web 应用的安全需求,指出随着互联网的发展,Web 应用安全性变得越来越重要。黑客们将注意力从网络...
Web漏洞检测及修复
秋天穿秋裤的Blog
07-16 2272
挺全的,建站时候应该一一检测,做安全审查~
cgi web 调用多次启动_漏洞预警|Web系统管理工具Webmin远程命令执行高危漏洞分析(CVE201915107)...
weixin_40005373的博客
11-26 215
漏洞描述近日,HSCERT监测发现Webmin1.92之前的版本存在一个远程命令执行漏洞(CVE-2019-15107),当用户开启Webmin密码重置功能后,攻击者利用该漏洞可在存在漏洞的系统中执行任意命令,进而获取系统Shell。Webmin是目前功能最强大的基于Web的Unix系统管理工具。管理员通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。目前Webmin支持绝大...
Linux下Bash 远程执行代码漏洞,重要赶紧修复
weixin_34319111的博客
09-25 239
2019独角兽企业重金招聘Python工程师标准>>> ...
漏洞修复之 bash漏洞远程命令执行
波子汽水
11-02 4030
系统版本[root@www bash]# cat /etc/issue Red Hat Enterprise Linux AS release 4 (Nahant Update 8) Kernel \r on an \m不能使用yum测试方法: 可以使用如下命令来检查系统存在此漏洞:env -i X=’() { (a)=>\’ bash -c ‘echo date’; cat echo 修复
web安全测试之appscan – TLS1.0 is enabled - 猿码设计师
Programming
06-06 1561
web安全测试之appscan – TLS1.0 is enabled - 猿码设计师https://www.yuanmadesign.com/ymdesign/web-appscan-tlsAppScan发现服务器支持较老的 TLS 版本(TLSv1.0 或 TLSv1.1)。服务器端配置的TLS版本比较老,需要更改。以Nginx配置为例:server {...ssl_protocols TLSv1.2 TLSv1.3;...}老版本的TLS有安全漏洞,虽然客户端支持,但是最好还是不要使用。...
Shellshock(bashdoor)漏洞详细分析、复现
boboyu1224的博客
03-15 4475
一、Shellshock的背景 Shellshock,又称Bashdoor,是在Unix中广泛使用的Bash shell中的一个安全漏洞,首次于2014年9月24日公开。许多互联网守护进程,如网页服务器,使用bash来处理某些命令,从而允许攻击者在易受攻击的Bash版本上执行任意代码。这可使攻击者在未授权的情况下访问计算机系统。 二、通过试验和总结,Shellshock漏洞执行的条件 1、首先是U...
安全测试
jffhy2017的博客
01-16 2403
测试类型:应用程序级别测试,基础结构测试 威胁分类:信息泄露,认证不充分,操作系统命令,sql注入,可预测资源位置,跨站点请求伪造,传输层保护不足,会话定置 1.sql盲注; 风险:可能会查看、修改或删除数据库条目和表; 原因:未对用户输入正确执行危险字符清理;应用程序易收到攻击; 威胁分类:sql盲注 测试类型:应用程序级别测试 2.使用sql注入的认证旁路 风险
Bash Shellshock(Bash远程代码执行)漏洞批量利用脚本
Exploit的小站~
05-10 3万+
Bash远程代码执行漏洞的威力确实要比心脏滴血大很多,但是影响范围不是很广泛,不过昨天的分析文章Bash远程代码执行漏洞分析中末尾提到了这个漏洞的批量问题。 其中最最简单的方法就是使用搜索引擎的hacking技术,这里我使用的Google Hacking语法结合Google API来进行链接的抓取。只不过在国内的话。。。。需要加代理。 程序中的代理是我本地的goagent代理,端口是8087。如何...
shellshock破壳远程命令执行漏洞复现通过web的方式进行web执行远程代码
ranuy阮的博客
02-28 1540
1、漏洞描述 GNU Bash 4.3及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行Shell命令。某些服务和应用允许未经身份验证的远程攻击者提供环境变量以利用此漏洞。此漏洞源于在调用Bash Shell之前可以用构造的值创建环境变量。这些变量可以包含代码,在Shell被调用后会被立即执行,造成...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值