Web常见漏洞修复建议

最新推荐文章于 2024-04-28 16:42:19 发布
最新推荐文章于 2024-04-28 16:42:19 发布
阅读量781 收藏 1
点赞数
文章标签: java 数据库
原文链接:http://www.cnblogs.com/iAmSoScArEd/p/10651947.html
版权

一、SQL注入修复建议

1.过滤危险字符,例如:采用正则表达式匹配union、sleep、and、select、load_file等关键字,如果匹配到则终止运行。

2.使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中,而是使用占位符实现对数据库的增删改查。

二、XSS修复建议

1.过滤输入的数据,例如:“ ‘ ”,“ “ ”,” < “,” > “,” on* “等危险字符。

2.对输出到页面的数据进行相应的编码转换,如HTML实体编码、JS编码等。

三、CSRF修复建议

1.验证请求的Referer是否来自本网站,但可被绕过。

2.在请求中加入不可伪造的token,并在服务端验证token是否一致或正确,不正确则丢弃拒绝服务。

四、SSRF修复建议

1.限制请求的端口只能为web端口,只允许HTTP和HTTPS请求

2.限制不能访问内网的IP,防止内网被攻击

3.屏蔽请求返回的详细信息

五、文件上传修复建议

1.通过白名单的方式判断文件后缀是否合法

2.对上传后的文件重命名,并且自定义添加后缀

六、暴力破解漏洞修复建议

1.如果用户登录次数超过设置的阈值,则锁定帐号(有恶意登录锁定帐号的风险)

2.如果某个 IP登录次数超过设置的阈值,则锁定IP

3.增加人机验证机制

七、代码或命令执行修复建议

1.减少或不使用代码或命令执行函数

2.客户端提交的变量在放入函数前进行检测

3.减少或不使用危险函数

八、越权漏洞修复建议

1.在一些操作时可以使用session对用户的身份进行判断和控制

 

转载于:https://www.cnblogs.com/iAmSoScArEd/p/10651947.html

weixin_34236869
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
javaWeb安全验证漏洞修复总结
08-26
目前很多业务都依赖于互联网,例如说网上银行、网络购物、网游等,很多恶意攻击者出于不良的目的对Web 服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样,Web业务平台最容易遭受攻击。同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。
使用session判断用户登录用户权限(超简单)
10-27
本篇文章是对session判断用户登录用户权限进行了详细的分析介绍,需要的朋友参考下
最新SQL注入漏洞修复建议
m0_74360619的博客
02-02 325
多数CMS都采用过滤危险字符的方式,例如,用正则表达式匹配union、sleep、load_file等关键字。如果匹配到,则退出程序。使用PDO预编译语句时需要注意的是,不要将变量直接拼接到PDO语句中,而是使用占位符进行数据库中数据的增加、删除、修改、查询。使用过滤的方式,可以在一定程度上防止出现SQL注入漏洞,但仍然存在被绕过的可能。常用的SQL注入漏洞修复方法有两种。
常见web开发安全漏洞修复方案
小刘的博客
02-02 2941
1.不充分账户封锁 (一) 安全问题描述 发送了两次合法的登录尝试,并且在其间发送了几次错误的登录尝试。最后一个响应与第一个响应相同。这表明存在未充分实施帐户封锁的情况,从而使登录页面可能受到蛮力攻击 解决方案 效果,当用户登录错误3次,则提醒30分钟后才可再次登录 if(!checkLock(session, username)) { Syst...
常见Web漏洞修复建议手册
Websec
11-24 2867
漏洞类型 修复建议 明文传输 1、需要对密码字段进行md5+salt(aes/rsa等不可逆算法)加密 用户名枚举 1、建议对接口登录页面的判断回显信息修改为一致:用户名或密码错误(模糊提示)。 用户名暴力破解 1、账户锁定 账户锁定是很有效的方法,因为暴力破解程序在5-6次的探测中猜出密码的可能性很小。但是同时也拒绝了正常用户的使用。如果攻击者的探测是建立在用户名探测成功之后的行为,那么会造成严重的拒绝服务攻击。对于对大量用户名只用一个密码的探测攻击账户锁定无效。
web安全漏洞加固方案简析
weixin_34087301的博客
05-13 1752
2019独角兽企业重金招聘Python工程师标准>>> ...
web漏洞合集描述和修复建议.xlsx
03-02
企业对产品进行渗透测试时书面报告中的web漏洞描述,包含漏洞分类、漏洞名称、危险等级、漏洞描述、修复建议
web常用的漏洞修复建议
明哥哥知识分享
10-18 1743
SQL注入 漏洞描述 通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句。导致敏感信息泄漏、破坏数据库内容和结构、甚至利用数据库本身的扩展功能控制服务器操作系统。 修复建议 1.对进入数据库的特殊字符(’"\尖括号&*;等)进行转义处理,或编码转换。 2.严格限制变量类
常见WEB安全漏洞及整改建议.docx
11-25
本文档主要总结了常见web的安全漏洞及处理办法,这些基本上都是我们做项目过程中发现并处理过得,希望能帮助到大家!
【应用安全——XSS】修复建议
Fly_鹏程万里
02-22 4680
本身XSS输出位置不同,且可构造的Payload很多,一般是从一下三个角度来修复。 httponly 一般谈到cookie时,所对应的安全配置有httponly和secure。 Httponly:为了防止设置了该标志的cookie被JavaScript读取。 Secure:只能通过HTTPS使用,确保在从客户机传输到服务器时,cookie总是被加密的。 Jboss中可以在content....
xss跨脚本攻击原理、危害及修复建议
任浩的博客
12-21 1892
原理:xss攻击是指对web程序中恶意植入代码,对网页数据、浏览信息、登录操作进行记录,获取不法信息 危害: 1、钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者通过注入钓鱼JavaScript脚本以监控目标网站的表单输入,甚至攻击者基于DHTML技术发起更高级的钓鱼攻击。 2、网站挂马:跨站时,攻击者利用Iframe标签嵌入隐藏的恶意网站,将被攻击者定向到恶意网站上、或弹出恶意网站窗口等方式,进行挂马。 3、身份盗用:Cookie是用户对于特定网站的身份验证标志,.
web常见漏洞问题
04-08
web常见漏洞问题的简单描述,以及对应问题的修复建议 web常见漏洞问题的简单描述,以及对应问题的修复建议
Web应用安全评估参考手册
09-05
这是笔者从业近多年以来,收纳整理的Web安全评估参考,里面记录了近年来比较常见的,危害没那么低的漏洞测试方法,漏洞出现的场景、描述、修复建议以及案例(案例均已打马,且来源于真实场景) 此手册仅适用于公司...
AppScan7.8注册文件
11-18
面向所有常见 Web 应用漏洞(包括 WASC 威胁类别,如 SQL 注入、跨站点脚本和缓冲区溢出)的自动化 Web 应用扫描和测试,以及简化补救工作的智能化修订建议 网站嵌入式恶意软件的检测 广泛的应用覆盖率,包括整合的 ...
数据安全常用资料文档汇总.zip
09-10
web漏洞合集描述和修复建议.xlsx windows加固.xlsx 信息安全意识培训.pptx 金融数据安全 数据安全分级指南.pdf 金融数据安全 数据生命周期安全规范.pdf 勒索病毒应急响应 自救手册(第二版).pdf
java方法重写(重点讲),方法重载
weixin_46281068的博客
04-27 958
一、方法重载定义:一个类中,出现多个方法的名称相同,但是它们的形参列表是不同的,那么这些方法就称为方法重载了。注意:一个类中,只要一些方法的名称相同、形参列表不同,那么它们就是方法重载了,其它的都不管(如:修饰符,返回值类型是否一样都无所谓)。形参列表不同指的是:形参的个数、类型、顺序不同,不关心形参的名称。应用场景:开发中我们经常需要为处理一类业务,提供多种解决方案,此时用方法重载来设计是很专业的。
Day25-Java基础之常用类1
m0_46053885的博客
04-27 901
同时我们发现Math类中的方法都是静态的,因此在使用的时候我们可以直接通过类名去调用。对于计算机而言,其实是没有数据类型的概念的,都是0101010101,数据类型是编程语言自己规定的,所以在实际存储的时候,先把具体的数字变成二进制,每32个bit为一组,存储在数组中。比较内存地址值一般情况下是没有意义的,我们希望比较的是对象的属性,如果两个对象的属性相同,我们认为就是同一个对象;如果我们的数据是一个浮点类型的数据,有的时候计算机并不会将这个数据完全转换成一个二进制数据,而是将这个将其转换成一个无限的。
Lambda表达式特点
weixin_57763462的博客
04-24 822
**API 设计**:Lambda 表达式鼓励使用函数式接口的设计模式,这改变了 Java 库的设计,例如 `java.util.function` 包下的一系列函数式接口。- **函数式编程**:Lambda 表达式引入了函数式编程的理念,使得 Java 更接近于函数式编程语言,如 Scala 和 Clojure。- **并发编程**:Lambda 表达式与 Java 8 新增的 Stream API 结合使用,可以简化并发编程,特别是与集合的操作相关。
Java解决最长公共前缀
最新发布
无人罪的博客
04-28 235
编写一个函数来查找字符串数组中的最长公共前缀。如果不存在公共前缀,返回空字符串""。
web常见漏洞、检测方法
08-23
web常见漏洞包括: 1. XSS(跨站脚本):攻击者通过注入恶意脚本代码来攻击用户浏览器,获取用户的敏感信息。 2. SQL注入:攻击者通过向Web应用程序的数据库查询中插入恶意的SQL代码来获取数据库的敏感信息。 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值