JAVA 系统常用漏洞解决方案

最新推荐文章于 2024-05-06 18:26:10 发布
最新推荐文章于 2024-05-06 18:26:10 发布
阅读量546 收藏 1
点赞数
文章标签: java 运维 web.xml
原文链接:https://my.oschina.net/farces/blog/1544582
版权

为什么80%的码农都做不了架构师?>>>   hot3.png

1.struts2 命令执行漏洞

升级struts2版到最新版即可,目前官网最新版为34版(struts.apache.org)。

2.发现OGNL Console

修改struts2 配置文件的struts.devMode参数为false,升级后再验证

3.Weblogic Xmldecoder 反序列化命令执行

安装最新补丁包B25A(170718版本)

4.WEBlogic SSRF 服务端请求伪造

安装最新补丁包B25A(170718版本)

5.发现Oracle  weblogic  UUDI Explorer

Ø 安装最新补丁包且删除domain/serverName/tmp/.internal/uddiexplorer.war 

Ø 通过F5 irule策略过滤/uddiexplorer的访问

when HTTP_REQUEST {
 #过滤weblogic uddiexplorer目录,禁止外网访问
 if { [HTTP::uri]  starts_with "/uddiexplorer" } {
     pool pool1
 }
 }

参考:https://secvul.com/topics/288.html

6.SVN 信息泄露

删除部署包的.svn文件或目录

7.HTTP Host 头部攻击

Ø 增加host头的判断是否与本站一致

import org.apache.commons.lang.StringUtils; //引入字符串处理包

//主机ip和端口 或 域名和端口 的判别,需更新成自己站点的地址端口或IP,需测试(网上提供的方法)

String myhosts = request.getHeader("host");

 if(!StringUtils.equals(myhosts, "xx.xx.xxx.xxx:xxxx") && !StringUtils.equals(myhosts, "xx.xx.xxx.xxx:xxxx")

 && !StringUtils.equals(myhosts, "xx.xx.xxx.xxx:xxxx")&&!StringUtils.equals(myhosts, "xx.xx.xxx.xxx")

 && !StringUtils.equals(myhosts, "xx.xx.xxx.xxx") && !StringUtils.equals(myhosts, "xx.xx.xxx.xxx") ){

 System.out.println("======访问host非法,已拦截======");

 response.sendRedirect(request.getContextPath() + "/login.jsp");

 return;

}

参考地址:http://www.360doc.com/content/15/0618/09/11975037_478924452.shtml

Ø 禁止使用request.getServerName() 方法

Ø F5增加判断

when HTTP_REQUEST {

#过滤非法请求

if { [HTTP::host] != "192.168.1.8" && [HTTP::host] != "xx.xx.xx.xx"  } {
        pool poo3
 }
 }

8.点击劫持:缺少X-Frame-Options头

增加头

X-Frame-Options共有三个值:

DENY

任何页面都不能被嵌入到iframe或者frame中。

SAMEORIGIN

页面只能被本站页面嵌入到iframe或者frame中。

ALLOW-FROM URI

页面自能被指定的Uri嵌入到iframe或frame中。

 

解决此问题我需要增加头X-Frame-Options=SAMEORIGIN即可解决;

不同应用服务器增加头的方式不同,主要有以下方法:

Ø 应用程序中的全局过滤中或在jsp、servlet中增加此head(response.addHeader("x-frame-options","SAMEORIGIN");

Ø F5配置

when HTTP_REQUEST { # HTTP_REQUEST事件 

   HTTP::header insert X-Frame-Options "SAMEORIGIN" 

#将变量X-Frame-Options插入至HTTP::header,变量值为SAMEORIGIN }

when HTTP_REQUEST {
  HTTP::header insert X-Frame-Options "SAMEORIGIN"
 }

Ø APACHE

#site配置里或conf配置文件中的空白行(全局)

Header always append X-Frame-Options SAMEORIGIN

Ø NGINX

#配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到 ‘http', ‘server' 或者 ‘location' 的配置中
add_header X-Frame-Options SAMEORIGIN;

Ø HAProxy

rspadd X-Frame-Options:\ SAMEORIGIN

9.发现DWR框架测试页面

删除应用中的测试页面,如不使用DWR框架,也可在web.xml中的去除与dwrServlet相关的内容

转载于:https://my.oschina.net/farces/blog/1544582

weixin_34129145
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JAVA上百实例源码以及开源项目
01-03
 WDSsoft的一款免费源代码 JCT 1.0,它是一个Java加密解密常用工具包。 Java局域网通信——飞鸽传书源代码 28个目标文件 内容索引:JAVA源码,媒体网络,飞鸽传书  Java局域网通信——飞鸽传书源代码,大家都知道VB...
漏洞解决方案-文件上传
smart的博客
08-10 5575
漏洞解决方案-文件上传漏洞概述安全措施限制文件扩展名检查文件头格式文件内容检查随机命名文件非WEB目录存储代码参考 漏洞概述 非法的文件上传是黑客最常用的攻击手段之一,如果允许黑客向某个可通过 Web 访问的目录上传文件,并能够将这些文件传递给代码解释器,它会给正常的系统中执行恶意的代码文件(通常这种恶意代码叫做:WebShell),通过执行恶意的WebShell获取相应权限,来控制整个主机系统。 安全措施 限制文件扩展名 检查上传的文件扩展名是否为预期的扩展名文件,拒绝接收任何非预期的扩展名文件。 检查文
JAVA:URL存在跨站漏洞,注入漏洞解决方案
yiluoAK_47的专栏
12-12 4915
跨网站脚本介绍 一 跨网站脚本 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本或跨站脚本攻击)是一种网站应用程序的安全漏洞攻击,是代码注入的一种。它允许恶意用户将代码注入到网页上,其他用户在观看网页时就会受到影响。这类攻击通常包含了HTML以及用户端脚本语言。 XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载
java xml与实体之间的转换(附有XXE漏洞解决方案
lqr666的博客
01-09 1371
javaBean与xml之间相互转换(附有XXE漏洞解决方案
WEB漏洞-XSS跨站脚本漏洞解决方案
踮脚敲代码
01-11 4354
一、测试过程 通过手工测试,构造用户可控参数访问,发现网站部分页面对用户可控参数未做过滤限制,存在XSS跨站脚本漏洞,测试如下: POST /task/notepad/insertNotepad HTTP/1.1 Host: www.xxx.com User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:52.0) Gecko/20100101 Firefox/52.0 Accept: */* Accept-Language: zh-CN,zh;q=0.8,e
漏洞解决方案-交易重放
smart的博客
09-12 3889
漏洞解决方案-交易重放前置知识修复方案 前置知识        重放攻击(Replay Attacks)又称重播攻击、回放攻击,是指攻击者发送一个目的主机已接收过的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的正确性。        重放攻击可以由发起者,也可以由拦截并重发该数据的敌方进行。攻击者利用网络监听或者其他方式盗取认证凭据,之后再把它重新发给认证服
java开源包1
06-28
JSTUN 是另外一个用来解决穿越 NAT 进行通讯的 Java 解决方案,是 STUN 协议的 Java实现。 在浏览器上运行Java程序 Doppio DoppioVM 是一个可在浏览器上直接运行 Java 项目的系统,无需任何插件支持。目前它包含一...
java开源包11
06-28
JSTUN 是另外一个用来解决穿越 NAT 进行通讯的 Java 解决方案,是 STUN 协议的 Java实现。 在浏览器上运行Java程序 Doppio DoppioVM 是一个可在浏览器上直接运行 Java 项目的系统,无需任何插件支持。目前它包含一...
java开源包101
07-13
JSTUN 是另外一个用来解决穿越 NAT 进行通讯的 Java 解决方案,是 STUN 协议的 Java实现。 在浏览器上运行Java程序 Doppio DoppioVM 是一个可在浏览器上直接运行 Java 项目的系统,无需任何插件支持。目前它包含一...
java开源包6
06-28
JSTUN 是另外一个用来解决穿越 NAT 进行通讯的 Java 解决方案,是 STUN 协议的 Java实现。 在浏览器上运行Java程序 Doppio DoppioVM 是一个可在浏览器上直接运行 Java 项目的系统,无需任何插件支持。目前它包含一...
链表刷题集
yajunjiao的专栏
04-30 815
本文主要列举了一些刷的题,不多,有那么几道,也建议各位去建立自己的刷题集。积少成多。
Linux下网络编程-简易Epll服务器和客户端
最新发布
weixin_45256307的博客
05-06 102
Linux下网络编程-简易Epll服务器和客户端
《设计一款蓝牙热敏打印机》
唐顺才的博客
05-06 67
安卓apk用java + kotlin编写、上位机用Qt编写。主控芯片用易兆威蓝牙ic,通讯接口:蓝牙、串口、usb。
一篇文章,系统性聊聊Java注解
架构风清扬
05-06 473
一篇文章,系统性聊聊Java注解
【一步一步了解Java系列】:探索Java基本类型与C语言的区别
2302_81249757的博客
04-29 1167
​​喜欢的一句话: 常常会回顾努力的自己,所以要为自己的努力留下足迹。作者:小闭。
Nacos 配置中心实例分析实践
m0_73557631的博客
05-03 987
​ 浏览器: http://localhost:5000/nacos/config/ip。先创建e-commerce-nacos-config-client5000 模块。​ 启动e-commerce-nacos-config-client5000。​ 启动Nacos Server。
公考学习平台|基于SprinBoot+vue的公考学习平台(源码+数据库+文档)
weixin_66413741的博客
04-30 1299
本共享汽车管理系统有管理员和用户。管理员功能有个人中心,用户管理,投放地区管理,汽车信息管理,汽车投放管理,汽车入库管理,使用订单管理,汽车归还管理。用户可以在注册登录,可以对汽车进行使用产生订单,还可以归还。因而具有一定的实用性。本站是一个B/S模式系统,采用Spring Boot框架,MYSQL数据库设计开发,充分保证系统的稳定性。系统具有界面清晰、操作简单,功能齐全的特点,使得共享汽车管理系统管理工作系统化、规范化。
SpringBoot实现图片上传(个人头像的修改)
m0_46590717的博客
04-29 1193
该文章适合对SpringBoot,Thymeleaf,layui入门的小伙伴。
Android 状态栏WiFi图标的显示逻辑
xiaowang_lj的博客
05-06 185
定义相关函数,继承BroadcastReceiver监听系统广播,动态注册广播接收器。是状态栏WiFi图标更新的核心类。定义了 Wifi 信号更新所需的图标资源。
系统端口扫描课程设计java
06-26
总之,我的系统端口扫描程序设计了一套完备的解决方案,具有高效、可靠、安全、易用等多方面的优点,适用于各种规模的网络系统,可以为用户提供全面的安全保障。 ### 回答2: 系统端口扫描课程设计 Java 系统端口...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值