WEB安全扫描问题汇总

最新推荐文章于 2024-08-05 03:28:02 发布
最新推荐文章于 2024-08-05 03:28:02 发布
阅读量2k 收藏
点赞数
文章标签: java web安全 javascript ViewUI
原文链接:http://www.cnblogs.com/wycg/p/11097427.html
版权

严重问题:
1、Tomcat版本过低
Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。
2、SQL盲注
对于用户输入的参数进行过滤。
3、jQuery跨站脚本
升级jQuery,更换为最新版的jQuery
4、Struts2开发模式
使用Spring MVC等其他框架,或升级Struts2最新版本
5、易受攻击的JavaScript库
更换使用的JS库、或者修改相关的JS。


一般问题:
1、HTML表单没有CSRF保护
传到后台的表单数据都没过滤、没有进行URLEncode等
2、DoS攻击--HTTP Denial of Service Attack

3、用户得凭证信息以明文发送User credentials are sent in clear text
账号和密码直接这样送到后台的:name=aaa&password=123456。。。
4、点击劫持Clickjacking: X-Frame-Options header missing

5、密码猜测攻击Login page password-guessing attack
只做普通的MD5加密被证明已经不满足目前的安全要求了,因为有很多用户密码强度非常简单,1~6、6个1、等等,很容易被猜到。
6、敏感目录Possible sensitive directories
取到Tomcat部署目录。。。
7、SESSION和Cookie未设置HttpOnly标识Session Cookie without HttpOnly flag set

1、修改默认的sessionid生成方式,加个密?换成64位的?;
2、session设置httpOnly,F12看不到,HTTP工具也看不到?;
3、Cookie的设置,别跟我以前一样**,cookie放的内容是:userName=xxx。。。加密都不做
8、未设置安全标识Session Cookie without Secure flag set
secure=true --- ?
9、响应缓慢Slow response time
1、上线前做性能优化页面要秒出,超过N秒就是BUG
2、AJAX设超时时间


普通问题:
1、链接失效Broken links
网页里加的外部链接,链接对应的内容可能已经删除、修改等原因,无法访问,点击后会报404等错误,用户体验差。上线前要检查外链!
2、未指定文档类型Content type is not specified
网页里没有doctype声明,对浏览器不友好?
3、发现Email地址Email address found
网页出现了完整的Email地址,例如:<a href="mailto:test@test.com">发邮件给我</a>,应该修改!
4、IE浏览器XSS防护失效Internet Explorer XSS Protection disabled on this page
IE浏览器有XSS防护选项
5、密码输入框启用自动匹配Password type input with auto-complete enabled
input的type为password的一般要哦加上autocomplete="off",关闭自动完
6、可能的用户名或密码泄露Possible username or password disclosure

转载于:https://www.cnblogs.com/wycg/p/11097427.html

weixin_34007886
关注
最近WEB安全扫描问题汇总
ivan0609的专栏
06-15 1万+
严重问题: 1、Tomcat版本过低 Tomcat5~8各个版本尽量使用最新的版本,新版已经修复了已经发现的漏洞。 2、SQL盲注 对于用户输入的参数进行过滤。 3、jQuery跨站脚本 升级jQuery,更换为最新版的jQuery
html表单缺乏csrf防护,表单验证因缺少CSRF而失败
weixin_39826089的博客
06-19 1009
我重置了本地flask环境,但是没有通过捕获它的依赖项,pip freeze然后再将其删除。因此,我不得不重新安装整个堆栈的最新版本。现在,我突然无法使用表单进行验证了。Flask声称CSRF将丢失。def register():form = RegisterForm()if form.validate_on_submit():...return make_response("register.h...
HTML表单没有CSRF保护漏洞
热门推荐
煜铭2011
06-20 1万+
0x00 背景 CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 恶意攻击者可以利用漏洞攻击做到:攻击者盗用了你的身份,以你的名义发送恶意请求。 CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账……造成的问题包括:个人隐私泄露以及财产安全。 0x01 修复思路 CSRF的防御可以从服务端和客户端两方面着手,防御
JAVA安全扫描
最新发布
weixin_36569375的博客
08-05 23
JAVA安全扫描指南 在当今信息安全日益重要的背景下,Java应用程序的安全性不可忽视。安全扫描能够帮助我们发现潜在的安全漏洞并及时修复。本文将指导你如何实施Java安全扫描,整个过程包括多个步骤,我们将一一解析。 流程概览 以下是Java安全扫描的整体流程: 步骤 描述 1 安装安全扫描工具 2 配置扫...
html form without csrf protection,尽管在表单中发送CSRF令牌,但不支持Spring Security CSRF 405方法POST...
weixin_35123047的博客
06-18 782
我使用的是Spring框架版本4.3.5.RELEASE . Spring安全版是4.2.2.RELEASE .我正面临一个与CSRF有关的奇怪问题 . 每当我提交一个表单(来自JSP文件), Sometimes it works fine, the form gets submitted without error but sometimes after submitting the form...
常用Web漏洞扫描工具汇总
桀骜不逊
03-12 5918
转载自: http://fairysoftware.com/web_lou_dong_sao_miao. html 1、AWVS,国外商业收费软件,据了解一个License一年费用是2万多RMB。可见总体漏洞扫描概况,也可导出报告,报告提供漏洞明细说明、漏洞利用方式、修复建议。缺点是限制了并行扫描的网站数。 2、OWASP Zed(ZAP),来自OWASP项目组织的开源免费工具,提供漏洞扫描、爬虫、Fuzz功能,该工具已集成于Kali Linux系统。 3、Nikto,一款开源软件,不仅可用于扫描发现网.
web目录扫描工具汇总
A-MING的博客
08-23 3938
在渗透中,我们需要得到网站web服务器的路劲。如管理员后台,站点的敏感文件如(站点备份、数据库备份)等等。在kali中有很多这样的优秀工具,本文将为你一一介绍。
绿盟主机扫描报告生成1.3(修复web汇总bug).xls
07-22
能够对绿盟极光安全扫描扫描出来的报告进行二次加工,目前可生成主机报告以及web报告。原先的绿盟生成出来的Excel格式报告非常乱,而且不好归类,我写了个宏将扫描出来后的主机问题全部按照漏洞类型,风险描述,...
web扫描漏洞解决办法
dpp10683401的博客
03-25 1598
漏洞修改: 1. Apache JServ protocol service漏洞(服务器问题问题出在Tomcat的8009端口,错误的提示是8009端口上运行着tcp协议。 解决办法:只能是通过关闭8009端口来实现,但是关闭端口之后对Tomcat有影响。 2、HTML form without CSRF protection 问题出在表单提交没有保护,可以伪造一个表单进行提交。 解决办法: 1、form表单:在拦截器初次访问页面或刷新页面时产生序列数,...
CSRF攻击防范
zhibin的程序日记
12-06 717
一、什么是CSRF攻击 CSRF(Cross-site request forgery跨站请求伪造,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利用。尽管听起来像跨站脚本(XSS),但它与XSS非常不同,并且攻击方式几乎相左。XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任
html表单csrf攻击的解决方案
sunchanglan151的博客
06-29 1280
Notice: file_get_contents(): Content-type not specified assuming application/x-www-form-urlencoded i
qq_35191331的博客
03-24 4863
错误信息: Notice: file_get_contents(): Content-type not specified assuming application/x-www-form-urlencoded in D:\WWW\http\http_request.php on line 14 Warning: file_get_contents(http://localhost/ht
今天遇到的几个问题以及解决方法
The key to .Net
05-03 454
1. 从客户端检测到有潜在危险的Request.Form 值  解决方法:  a 在web.config文件后面加入这一句:          示例:                                              b.在*.aspx文件头的Page中加入validateRequest=" 2. 操作必须使用一个可更新的查询       今天调试一个asp.net(c
工具Acunetix web scanner 扫描的漏洞修复
qq_31949853的博客
12-17 4806
1、HTML form without CSRF protection 解决:添加一个 &lt;input type="hidden" name="session"  autocomplete="off"  class="layui-input" value="12345"/&gt; 其中value的值是从后台传递过来的,提交表单时验证 2、User credentials are se
无csrf防护的html页面,CSRF是什么?CSRF的危害以及防御方法
weixin_39964590的博客
06-04 436
本篇文章给大家带来的内容是关于CSRF是什么?CSRF的危害以及防御方法,有一定的参考价值,有需要的朋友可以参考一下,希望对你有所帮助。什么是 CSRF在了解 CSRF 之前我们需要科普两个前提。首先是登录权限验证的方式有很多种,目前绝大多数网站采用的还是session 会话任务的方式。session 机制简单的来说就是服务端使用一个键值对记录登录信息,同时在 cookie 中将 sessioni...
html创建scrpts方法,web安全扫描问题(常见的)分析以及解决方式
weixin_39745269的博客
06-16 345
这是我上午扫描的一个网站很多地方地方不懂 在网上查了严重问题有Session fixtion,vulnerable javascript library..1.什么是sessionfixation攻击Session fixation有人翻译成“Session完成攻击”,实际上fixation是确知和确定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击...
WVS网站安全扫描工具详细使用教程
WVS的这些工具提供了全面的安全评估,帮助用户识别并修复潜在的安全问题。为了深入了解每个工具的使用,建议详细阅读官方的手册或在线文档,以便充分利用WVS的功能。在实际操作中,确保遵守合法性和道德规范,不要对...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值