WEB网站服务器安全漏洞扫描环境搭建及漏洞工具扫描

于 2024-04-25 11:00:45 发布
阅读量999 收藏 12
点赞数 17
文章标签: 前端 服务器 运维 网络安全 struts2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43075093/article/details/138182936
版权
本文介绍了如何在企业自建网站和使用Struts框架的环境中安装Struts漏洞扫描工具,同时详细讲述了远程代码执行的危害及防御措施,包括输入验证、参数化查询和最小权限原则等,以提升网站安全性。
摘要由CSDN通过智能技术生成

在这里插入图片描述

一、适用环境

1、企业自建有门户网站;
2、使用Struts框架的WEB网站;
3、网站服务器涉及有数据库之类的项目,如:微信登录、手机登录、充值、收费等。
4、使用安卓版、苹果版、电脑版结合的缴费类网站平台。
5、方便但需提高安全性的WEB网站系统。

二、安装配置Struts漏洞扫描工具的运行环境

(一)什么是Struts

struts2安全漏洞是apache项目下的一个web 框架,普遍应用于阿里巴巴、京东等互联网、政府、企业门户网站。
攻击者可通过发送恶意构造的HTTP数据包利用该漏洞,在受影响服务器上执行系统命令,进一步可完全控制该服务器,造成拒绝服务、数据泄露、网站造篡改等影响。由于该漏洞利用无需任何前置条件(如开启dmi ,debug等功能)以及启用任何插件,因此漏洞危害较为严重。
国家信息安全漏洞库(CNNVD)收到关于Apache Struts2 (S2-045)远程代码执行漏洞(CNNVD-201703-152)的情况报送。由于该漏洞影响范围广,危害级别高,国家信息安全漏洞库(CNNVD)对此进行了跟踪分析。
Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web 应用的开源MVC框架,主要提供两个版本框架产品: Struts 1和Struts 2。
Apache Struts2漏洞是由于上传功能的异常处理函数没有正确处理用户输入的错误信息。导致远程攻击者可通过发送恶意的数据包,利用该漏洞在受影响服务器上执行任意命令。
攻击者可通过发送恶意构造的HTTP数据包利用该漏洞,在受影响服务器上执行系统命令,进一步可完全控制该服务器,造成拒绝服务、数据泄露、网站篡改等影响。由于该漏洞利用无需任何前置条件(如开启dmi ,debug等功能)以及启用任何插件,因此漏洞危害较为严重。

(二)安装java运行环境jdk

参考:CentOS8下的JDK安装
https://blog.csdn.net/weixin_43075093/article/details/134822281
1、查看当前java的版本、检查是否存在jdk
java -version
(1)当前系统中没有安装java
在这里插入图片描述

(2)当前已经有的java版本
在这里插入图片描述

2、删除当前版本
(1)查看当前有哪几个安装包可删除:rpm –qa |grep java
(2)删除某个安装包:rpm –e –nodeps java-x.x.x-openjdk
(3)再查看java是否存在
在这里插入图片描述

3、查看可安装的java版本:yum –y list java*
在这里插入图片描述

4、安装JDK:yum install java-1.8.0-openjdk-devel.x86_64
在这里插入图片描述
在这里插入图片描述

5、查看已经安装好的java版本:java -version
在这里插入图片描述

6、yum 命令安装默认安装路径为 /usr/lib/jvm
在这里插入图片描述

7、配置环境变量:vi /etc/profile
set java environment
export JAVA_HOME=/usr/lib/jvm/java-1.8.0-openjdk-1.8.0.362.b08-3.e18.x86 64
export CLASS_PATH=.: J A V A H O M E / l i b / d t . j a r : JAVA_HOME/lib/dt.jar: JAVAHOME/lib/dt.jar:JAVA_HOME/lib/tools.jar: J R E H O M E / l i b P A T H = JRE_HOME/lib PATH= JREHOME/libPATH=PATH: J A V A H O M E / b i n : JAVA_HOME/bin: JAVAHOME/bin:JRE_HOME/bin
export JAVA_HOME JRE_HOME CLASS_PATH PATH
在这里插入图片描述

8、执行source /etc/profile
9、查看环境变量更新后的结果中有jdk的路径
在这里插入图片描述

10、若未知是否已配置JAVA_HOME
(1)查找本机中JDK安装的位置
Find / -name java
在这里插入图片描述

(2)编辑环境变量 vim /etc/profile
执行环境变量 /etc/profile
在这里插入图片描述

(3)执行$JAVA_HOME,能正常显示一个路径
在这里插入图片描述

(三)下载Struts漏洞扫描工具

(严禁用于非授权的测试及非法途径)下载地址:
https://github.com/abc123info/Struts2VulsScanTools
在这里插入图片描述
在这里插入图片描述

(四)启动漏洞扫描工具

在这里插入图片描述

(五)执行漏洞扫描

在这里插入图片描述

三、远程代码命令执行的防御措施

1、假定所有的输入都是可疑的,对所有输入提交的可能执行命令的语句或构造语句严格检查,或控制外部输入;系统命令执行时,执行的结果与参数不传递到外部。
2、输入验证与过滤:验证输入的数据时,验证其名称、格式、长度、类型等信息。
3、在客户端与服务端都进行数据的验证与过滤。
4、对输出的数据检查,如数据库的输出或程序执行结果的输出进行检查验证。
5、对输入的数据进行编码加密,也在各输出点进行安全检查。
6、参数化查询:在处理数据库查询时,应使用参数化查询方式,而不是简单拼接SQL语句。参数化查询可以有效防止SQL注入攻击,避免攻击者通过恶意输入改变SQL查询的意图。开发者应该使用预定义的参数,并对参数进行正确的类型检查和转换。
7、最小权限原则:在服务器配置和应用程序设置中,遵循最小权限原则。即为每个角色或模块分配最少的权限,避免一些不必要的操作和权限。例如,数据库用户应该只拥有访问特定数据表的权限,而不是整个数据库的访问权限。
8、安全编码实践:在开发过程中,应采取安全编码实践,避免一些常见的安全漏洞。例如,禁止使用非安全的文件操作函数,如eval、exec等;不暴露系统和框架的详细错误信息,以防攻击者利用这些信息进行攻击。
9、安全框架和工具:选择适合的安全框架和工具来加强网站的安全性。安全框架和工具可以提供许多防御机制,如输入过滤、错误处理、访问控制等。开发者可以利用这些工具来规避一些常见的安全风险。

本文至此结束,不足之处敬请批评指正。

weixin_43075093
关注
  • 17
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 5
    评论
服务器安全巡检 漏洞扫描器进行自动化的大范围脆弱性检查
11-14
服务器安全巡检 漏洞扫描器进行自动化的大范围脆弱性检查
十个常用Web漏洞扫描程序
firelife
06-22 932
来自:http://www.daxigua.com/archives/1681 现在有许多消息令我们感到Web的危险性,如《看Web如何摧毁你的企业》和《微软Office安全漏洞网民即将面临最大威胁》等文章,因此,当前如何构建一个安全Web环境成为网管员和安全管理员们义不容辞的责任。但是巧妇难为无米之炊,该选择哪些安全工具呢?扫描程序可以在帮助造我们造就安全Web站点上助一臂之力,也就是说在...
WEB服务器漏洞扫描
10-19
WEB服务器漏洞扫描器,很强的一款漏洞扫描软件,网站做好了之后,必用工具
OPC服务器漏洞扫描
OPC那点事
08-11 788
上篇是关于写个优雅的OPC客户端,今天谈谈如何找出你的服务端的漏洞。在我的另一篇关于OPC服务器安全的博文中提到了2015年针对工控系统的蜻蜓攻击。黑客通过水坑攻击进入到工控网络,然后利用OPC的相关漏洞开始扫瞄,获取相应的位点信息开始攻击。这就提出一个问题,我的服务端到底安不安全?如果黑客已经通过其它手段进入到我的网络,他会发现什么?所以我们就需要一款工具,比黑客先找出自己的漏洞,对自己的工控网...
服务器漏洞扫描,端口扫描,超级好用的扫描
01-08
很好用的哦·不用摆下了呵呵是好用的 你们2就用一下吧·呵呵绝对好用·呵呵
Web网站安全技术的研究与应用.docx
09-01
在攻击测试中,本文对公网上的 Web 网站及示范网站进行了 SQL 注入攻击、DDOS 攻击、漏洞扫描等攻击测试,以验证 Web 网站安全理论的实践效果。通过对攻击测试结果的分析,提出了 Web 网站安全的一些防护措施,包括 ...
网络安全web安全、渗透测试之笔试总结(二)
10-14
在这篇文章中,我们将对网络安全Web 安全和渗透测试进行总结,涵盖对称加密、非对称加密、同源策略、Cookie 存储、XSS 攻击、TCP 和 UDP 的区别、SYN 攻击、证书考试、DVWA 搭建、渗透测试流程、IIS 服务器保护...
第03天:基础入门-搭建安全拓展1
08-03
在IT行业中,网络安全是至关重要的一个领域,特别是对于网站服务器的搭建过程。"第03天:基础入门-搭建安全拓展1"这个主题主要关注的是在建立和扩展网络基础设施时如何确保安全性。以下是一些关键知识点的详细解释...
Git+SonarQube+Jenkins环境配置流程
11-30
通过SonarQube我们可以检测出项目中重复代码, 潜在bug, 代码规范,安全漏洞等问题, 并通过SonarQube web UI展示出来。 除了git还有svn、cvs这样的版本控制系统,它们的区别在于一个是分布式一个是集中式集中式...
网络安全管理平台测试方案v.pdf
05-17
- 安全监控:测试平台是否能实时监测网络中的异常活动,如入侵检测、病毒检测、漏洞扫描等。 - 安全审计:验证平台的审计功能,包括日志记录、行为分析和合规性检查。 - 安全决策:评估平台在面对安全威胁时的响应...
服务器漏洞扫描系统的简单搭建
weixin_54652750的博客
11-06 4024
服务器漏洞扫描系统的简单搭建 项目介绍 这是一款开源的资产巡航扫描系统。系统定位是通过masscan+nmap无限循环去发现新增资产,自动进行端口弱口令爆破、指纹识别、XrayPoc扫描。主要功能包括: 资产探测、 端口爆破、 Poc扫描、 指纹识别、 定时任务、 管理后台识别、 报表展示。 通过Docker搭建好之后,设置好你要扫描的网段跟爆破任务,就不需要去操作其他的事情了,没事的时候过来收漏洞就行了。 功能清单 masscan+namp巡航扫描资产 创建定时爆破任务(FTP/SSH/SMB/M
网络安全-漏洞扫描
qq_37776764的博客
06-27 915
漏洞扫描概念、漏洞扫描试验内容、漏洞扫描分类
网络安全自学篇之Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
Karka_的博客
06-03 2075
Web渗透技术的核心是发现Web漏洞,发现漏洞有手工和软件自动化扫描两种方式。对于用户验证漏洞、用户凭证管理问题、权限特权及访问控制漏洞、缓存漏洞、跨站脚本漏洞、加密漏洞、路径切换漏洞、代码注入漏洞、配置漏洞、数据和信息泄露、输入验证码漏洞、操作系统命令脚本注入、资源管理漏洞、SQL注入等常见Web漏洞,都可以通过Web扫描器进行扫描
网络安全信息收集之服务漏洞扫描与利用
旺仔Sec&blog
07-16 1124
7.使用set命令设置目标IP(在第6题的基础上),使用MS12020拒绝服务攻击模块,运行此模块将回显结果中倒数第一行的最后一个单词作为Flag值提交;5.使用set命令设置目标IP(在第4题的基础上),并检测漏洞是否存在,运行此模块将回显结果中倒数第二行的最后一个单词作为Flag值提交;8.进入靶机关闭远程桌面服务,再次运行MS12020拒绝服务攻击模块,运行此模块并将回显结果中倒数第二行的最后一个单词作为Flag值提交。然后使用命令rexploit再次运行RDP拒绝服务模块,查看回显结果。
漏洞扫描技术
最新发布
2301_77302602的博客
04-09 1322
漏洞扫描技术实验中,我使用了Kali Linux这个专门用于渗透测试和漏洞评估的操作系统。通过这次实验,我学到了许多关于漏洞扫描的知识和技术。首先,我了解了什么是漏洞扫描漏洞扫描是指通过扫描目标系统中的漏洞,发现系统中可能存在的安全问题。这些安全问题可以是软件漏洞、配置错误、密码弱点等。漏洞扫描可以帮助我们及早发现并修补系统中存在的安全漏洞,提高系统的安全性。在实验中,我使用了Kali Linux中的一些工具来进行漏洞扫描。其中最常用的工具包括Nmap和OpenVAS。
最受渗透测试工程师欢迎的10款漏洞扫描工具(2023版)
m0_70486148的博客
06-26 2119
漏洞扫描工具是现代企业开展渗透测试服务中必不可少的工具之一,可以帮助渗透测试工程师快速发现被测应用程序、操作系统、计算设备和网络系统中存在的安全风险与漏洞,并根据这些漏洞的危害提出修复建议。常见的漏洞扫描工具包括漏洞发现扫描、全功能扫描和合规性扫描。在实际工作中,渗透测试工程师往往会根据测试项目的需要,使用多个漏洞扫描工具来完成任务。日前,国外安全媒体Gbhackers根据对数十位安全渗透测试工程师的问卷调研和应用访谈,收集整理出2023年最受安全工程师们欢迎的10款漏洞扫描工具工具名称主要特点。
linux服务器漏洞修复软件,linux漏洞修复_小白篇
weixin_42191359的博客
04-29 880
linux漏洞修复,适用于一般检测器检测到的漏洞。cent os7.3,初窥门径。前提Tomcat:查看版本号cd /usr/tomcat9/bin/;./version.sh查看服务状态FastGateServer.sh status配置文件路径tomcat9conf/web.xml和/usr/tomcat9/webapps/host-manager/WEB-INF/web.xmlHttpd:查...
漏洞扫描服务内容有哪些?
yz_weixiao的博客
04-28 451
漏洞扫描是指基于 CVE、CNVD、CNNVD 等漏洞数据库,通过专用工具扫描手段对指定的远程或者本地的网络设备、主机、数据库、操作系统、中间件、业务系统等进行脆弱性评估,发现安全漏洞,并提供可操作的安全建议或临时解决办法的服务。
我在自己电脑搭建了服务端,怎样借助第三方工具,让别人能访问我的服务器
05-10
如果您想让别人通过互联网访问您的服务器,您需要进行以下步骤: 1. 获取您的服务器的公共 IP 地址。 2. 确保您的服务器上的服务已经打开并正在运行。例如,如果您想让别人能够访问您的网站,您需要确保您的 Web 服务器正在运行。 3. 配置您的路由器以允许从 Internet 上的外部 IP 地址访问您的服务器。这通常涉及到在路由器上设置端口转发规则。不同的路由器厂商和型号可能有不同的设置方法,您可以参考路由器的用户手册或与厂商联系以获取更多帮助。 4. 给其他人提供您的公共 IP 地址和端口号(如果需要)以让他们能够访问您的服务器。请注意,公共 IP 地址可能会发生变化,因此您需要定期更新您提供给别人的信息。 5. 使用第三方工具来检查您的服务器是否可以从互联网上访问。例如,您可以使用在线端口扫描工具(如 nmap)或端口扫描器软件(如 Advanced Port Scanner)来检查您的服务器是否可以访问。 请注意,如果您的服务器上运行的服务涉及到安全风险,例如您的 Web 服务器上运行的应用程序存在漏洞,那么允许外部访问可能会导致安全问题。因此,请确保您的服务器和服务都是安全的,并采取必要的安全措施来保护您的数据和用户的隐私。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

weixin_43075093

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值