安全漏洞修复帖

已于 2023-03-09 17:55:17 修改
阅读量1.7k 收藏 3
点赞数 1
分类专栏: 安全漏洞 文章标签: java 网络安全 系统安全 web安全 安全性测试
于 2023-03-09 15:44:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45067120/article/details/129423542
版权

对于项目漏洞都是一堆又不重要又很重要的事情

一、修复HTTP 响应头缺失

Nginx

nginx.conf配置文件中location / {
	add_header 响应头 值;
}

Tomcat

Security认证:
在这里插入图片描述
Filter:
在这里插入图片描述

响应头:值

  1. X-Frame-Options SAMEORIGIN;
    SAMEORIGIN 表示该页面可以在相同域名页面的frame中展示

  2. X-Content-Type-Options: nosniff;
    禁止服务器自动解析资源类型

  3. X-XSS-Protection “1; mode=block”;
    mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换

  4. Content-Security-Policy “default-src *;style-src ‘self’ ‘unsafe-inline’;script-src ‘self’ ‘unsafe-inline’ ‘unsafe-eval’;img-src * data:;worker-src * blob:;font-src ‘self’ data:;”;
    default-src 定义针对所有类型资源的默认加载策略,
    self 允许加载相同源的内容

  5. Strict-Transport-Security “max-age=63072000; includeSubdomains; preload”;
    其可选的值有: max-age=SECONDS,表示本次命令在未来的生效时间 includeSubDomains,可以用来指定是否对子域名生效 漏洞危害

  6. X-Permitted-Cross-Domain-Policies none;
    none:不设置

  7. X-Download-Options: noopen;
    noopen:用于指定IE 8以上版本的用户不打开文件而直接保存文件。在下载对话框中不显示“打开”选项。

  8. Referrer-Policy “no-referrer”;不允许被记录

二、会话 Cookie 中缺少 secure 属性

在这里插入图片描述

三、Html form 表单没有 CSRF 防护

Security的示例

演示如何添加CSRF防护
1、在Spring Boot中验证CSRF token
在Spring Boot中,可以使用CsrfToken接口来获取和验证CSRF token。下面是一个基于Spring MVC的控制器示例,演示如何获取和验证CSRF token:

@Controller
public class MyController {

    @Autowired
    private CsrfTokenRepository csrfTokenRepository;

    @GetMapping("/")
    public String index(Model model, HttpServletRequest request) {
        CsrfToken csrfToken = csrfTokenRepository.generateToken(request);
        model.addAttribute("_csrf", csrfToken);
        return "index";
    }

    @PostMapping("/submit")
    public String submit(@RequestParam("_csrf") CsrfToken csrfToken, Model model) {
        if (csrfToken == null) {
            throw new IllegalArgumentException("Missing CSRF token");
        }
        // 验证CSRF token是否正确
        boolean valid = csrfTokenRepository.loadToken(request)
            .map(t -> t.equals(csrfToken))
            .orElse(false);
        if (!valid) {
            throw new IllegalArgumentException("Invalid CSRF token");
        }
        // 处理表单提交
        return "result";
    }
}

2、在表单中添加CSRF token
在表单中添加一个隐藏的input标签,包含一个生成的CSRF token:

<form action="/submit" method="post">
  <input type="hidden" name="_csrf" value="${_csrf.token}" />
  <label for="name">Name:</label>
  <input type="text" id="name" name="name" />
  <button type="submit">Submit</button>
</form>

3、在Spring Boot中配置CSRF防护
在Spring Boot中配置CSRF防护需要使用CsrfTokenRepository接口来生成和存储CSRF token。在Spring Boot中,默认情况下,CsrfTokenRepository会将CSRF token存储在session中,可以使用HttpSessionCsrfTokenRepository类来配置。

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }
}

Shiro的示例

当使用Shiro作为安全框架时,可以采取以下步骤来添加CSRF防护:
1、在Shiro中启用CSRF防护
在Shiro中启用CSRF防护需要在Shiro的配置文件中添加以下内容:

<bean id="csrfTokenManager" class="org.apache.shiro.web.csrf.CsrfTokenManager"/>

上面的配置会创建一个CsrfTokenManager实例,该实例负责生成和验证CSRF token。

2、在表单中添加CSRF token
在表单中添加一个隐藏的input标签,包含一个生成的CSRF token:

<form action="/submit" method="post">
  <input type="hidden" name="_csrf" value="${csrfTokenManager.token}" />
  <label for="name">Name:</label>
  <input type="text" id="name" name="name" />
  <button type="submit">Submit</button>
</form>

在上面的示例中,使用${csrfTokenManager.token}表达式从CsrfTokenManager获取CSRF token,并将其添加到表单中。

3、在Shiro中验证CSRF token
在Shiro中,可以使用CsrfTokenManager来获取和验证CSRF token。下面是一个基于Shiro的控制器示例,演示如何获取和验证CSRF token:

@Controller
public class MyController {

    @Autowired
    private CsrfTokenManager csrfTokenManager;

    @GetMapping("/")
    public String index(Model model) {
        CsrfToken csrfToken = csrfTokenManager.getToken();
        model.addAttribute("csrfTokenManager", csrfTokenManager);
        return "index";
    }

    @PostMapping("/submit")
    public String submit(@RequestParam("_csrf") String csrfToken, Model model) {
        if (csrfToken == null) {
            throw new IllegalArgumentException("Missing CSRF token");
        }
        // 验证CSRF token是否正确
        boolean valid = csrfTokenManager.isValid(csrfToken);
        if (!valid) {
            throw new IllegalArgumentException("Invalid CSRF token");
        }
        // 处理表单提交
        return "result";
    }
}

四、Host 头攻击

Nginx

修改ngnix.conf文件,在server中指定一个server_name名单,并添加检测。值可为IP或域名

Tomcat

修改server.xml文件,配置Host的name属性,值可为IP或域名

Apache

修改httpd.conf文件,指定ServerName,并开启UseCanonicalName选项。

五、开启 options 方法

在这里插入图片描述

爱机车的程序猿
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
博客
多线程处理百万级数据入库
08-22 1818
1.创建线程类重写run方法2.拆分List用线程池处理
博客
学废Elasticsearch(一)
07-28 1081
部署Elasticsearch、资源下载、报错总结
博客
Activiti目录(五)驳回、重新发起、取消流程
05-27 6048
把Activiti打入你的脑袋,再次通过驳回、取消流程快速打入
博客
一个数10年工作经验的微服务架构老师的简历
03-01 3584
写好简历必须注意的问题1.简历打印不要超过三页纸2.照片可附带可不附带 但是附带的一定要专业的照片3.期望薪资要比年收入多 期望薪资直接写上去4.面试的时候有可能是答得不够好 问你期望薪资你就不敢要了所以给自己一个期望薪资 不用面议比较好当然这只是我建议 别人看到了 要你去面试 就咬死了这个薪资然后人家觉得你值这个价格给你压价之类的 都是这个标准去压,面试不好认为你不OK的直接就被pass掉了。...
博客
uni-app使用HBuilderX打包Web项目
01-19 1420
一、找到manifest.json配置Web配置。打包成功,点击地址获取文件。
博客
Nginx 不同源Https请求Http 报strict-origin-when-cross-origin
12-27 780
nginx代理配置url指向只开放了/* 而我/*/*多了一层路径。
博客
Java Word文档发送给外部文件上传API
11-16 141
【代码】Java Word文档发送给外部文件上传API。
博客
Java Html转Word
11-16 1522
【代码】Java Html转Word。
博客
微信公众号开发(BUG集)
09-25 462
2.微信公众平台接口错误:invalid ip 180.101.72.196 ipv6 ::ffff:180.101.72.196, not in whitelist rid: 6511420b-60c59249-01084d02。1.微信公众平台接口错误:不合法的自定义菜单使用用户。白名单离开放服务器IP。
博客
Ubuntu部署nginx
09-25 448
with-http_stub_status_module:启用 HTTP Stub Status 模块。该模块是 Nginx 的一个内置模块,用于获取 Nginx 服务器的状态信息。–prefix=/usr/local/nginx:指定安装目录为/usr/local/nginx。–with-http_ssl_module:启用 HTTP SSL 模块。该模块使得 Nginx 支持通过 HTTPS 提供安全的加密传输。下载的nginx是zip文件。#切换到nginx的安装目录。#查看Nginx的进程。
博客
Nginx部署前后端分离项目(Linux)
09-12 855
nginx文件:/usr/local/nginx/后台文件:/data/wx/wx-api.jar。如果更改了配置文件建议使用这个方式重新启动。通过Maven 使用package打包。前台文件:/data/wx/dist。进入nginx文件夹。
博客
LangChain+ChatGLM整合LLaMa模型(二)
08-03 2165
在Langchain-ChatGLM/configs/model_config.py中llm_model_dict添加。LLAMA-7B(中文提问当作翻译回答了…看来训练的中文语料不太行,但是英文也算是答对了)具体为什么LLaMa为什么这样回答,等待后续。LLaMa模型GitHub地址。
博客
LangChain+ChatGLM大模型应用落地实践(一)
07-31 3962
LangChain是一个近期非常活跃的开源代码库,目前也还在快速发展中,旨在让大家快速构建自己的LLM对话产品。当然,该框架也支持自定义接入其他机构、企业开源的LLMs的API和模型(比如:ChatGLM、文心一言等)。届时,LangChain的版本已经更新到0.0.123,目前保持着每天1发版的更新速度。LangChain主要包括以下几个主要的模块:Prompt Templates:支持自定义Prompt工程的快速实现以及和LLMs的对接;
博客
Python基于pandas库导出excel文件
07-12 1607
【代码】Python基于pandas库导出excel文件。
博客
Python基于xlwt库导出excel文件
06-28 450
【代码】Python基于xlwt库导出excel文件。
博客
Quartz定时任务管理
05-16 681
通过Controller提供API接口,这里我的TaskService调用了QartzService的对应接口,并做了一个写数据库读写操作,主要记录定时任务状态、执行记录信息的等。Quartz定时任务主要由Scheduler、JobDetail、CronTrigger、Cron组成,实现动态管理定时任务,主要就是通过管理上述对象来实现的。
博客
Spring+Ehcache实现账户锁定
04-17 246
6、在程序中使用 ReportCache reportCache = ReportCache.getInstance();获取实例就可以进行缓存操作了。1、需要echache的jar包可以直接去maven仓库下载。2、需要配置文件ehcache.xml进行配置。这里采用的是单例模式,应用中一个实例即可。这里就建立了三种缓存形式。
博客
FreeCodeCamp-JavaScript Algorithms and Caesars Cipher
03-29 151
【代码】FreeCodeCamp-JavaScript Algorithms and Caesars Cipher。
博客
FreeCodeCamp-JavaScript Algorithms and Data Structures
03-20 194
FreeCodeCamp-JavaScript Algorithms and Data Structures。
博客
Elasticsearch注解式开发(Java)
02-02 509
Elasticsearch注解式开发(Java)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值