web网站安全漏洞

最新推荐文章于 2024-01-31 11:24:03 发布
最新推荐文章于 2024-01-31 11:24:03 发布
阅读量229 收藏
点赞数
分类专栏: java 文章标签: java 安全漏洞 web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46529122/article/details/113569360
版权
此文仅记载开发过程中碰到的一些安全漏洞和解决方案
1. HTTP慢速攻击
风险描述?

http请求底层使用的是TCP网络进行会话,如果中间件对会话超时时间设置不合理,并且HTTP在发送请求的时候采用低速发送请求,这样就会占用一个HTTP连接会话,如果大量的使用低速方式进行HTTP请求,中间件的连接数量很容易被使用完而导致其他用户无法进行HTTP请求,形成拒绝服务攻击

解决方案
  1. 在网络层使用带有拒绝服务攻击相关的安全设备(防火墙、抗DDOS、WAF)
  2. 修改减少中间件的HTTP会话超时时间。
  3. 更新中间件的版本
  4. 优化中间件的连接会话数及相关配置
  5. 限制单个IP在一定时间内的HTTP请求数
  6. 修改Tomcat 配置文件 server.xml 中的 <Connector … /> 配置中,设置connectiontimeout值,默认为20000ms,修改为8000ms;
<Connector port="8080" protocol="HTTP/1.1"
    maxHttpHeaderSize="8192"
    maxThreads="100"
    minSpareThreads="50"
    maxSpareThreads="100"
    minProcessors="50"
    maxProcessors="100"
    enableLookups="false"
    connectionTimeout="8000"
    acceptCount="100"
    redirectPort="8443" URIEncoding="UTF-8"/>
2.传输层保护不足
风险描述

应用程序时常没有进行身份认证,加密措施,甚至没有保护敏感网络数据的保密性和完整性。而当进行保护时,应用程序有时采用弱算法,使用过期或者无效的证书,或不正确的使用这些技术就会导致传输层保护不足的漏洞
在这里插入图片描述

解决方案
  1. 对所有敏感的页面使用SSL,非SSL请求的页面被重定向到SSL请求的页面。
  2. 对所有敏感的cookie设置“secure”的属性
  3. 保证SSL的提供商只支持强大的算法,这样就不会被轻易破解
  4. 保证您的证书是有效的,不过期,不被撤销,并匹配这个网站所有的域
  5. 后台和其他连接也应该使用SSL或其他加密技术
  6. 即使是开发者的注释也应该很好的被保护,防止信息泄露
3.信息泄露
风险描述

信息泄露主要是由于开发人员或运维管理人员的疏忽导致。如未及时删除调试页面,未关闭程序调试功能,未屏蔽程序错误信息,备份文件未删除,数据库备份文件未删除,未屏蔽敏感数据信息等多个方面所导致的不同严重程度的信息泄露。攻击者可通过所掌握的信息进一步分析攻击目标,从而有效发起下一步的有效攻击
在这里插入图片描述

解决方案

对于浏览器一个目录或文件的服务器重定向到自定义的404错误页面,或者删除敏感信息

V形嘴角
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web系统常见安全漏洞介绍及解决方案-CSRF攻击
web15286201346的博客
07-31 289
CSRF跨站请求伪造,全称Cross-siterequestforgery,是指利用受害者尚未失效的身份认证信息(cookie、会话等),诱骗其点击恶意链接或者访问包含攻击代码的页面,在受害人不知情的情况下以受害者的身份向(身份认证信息所对应的)服务器发送请求,从而完成非法操作(如转账、改密等)。CSRF是Web安全中最容易被忽略的一种攻击方式,但某些时候却能产生强大的破坏性。...
iis php 404错误页面,IIS自定义404错误页面
weixin_33509600的博客
03-27 307
404、503错误相信大多数站长朋友很对很熟悉,网站刚刚搭建完成后我们一般都会做一个404和503错误页面。那么这是怎么操作的呢?熟悉我的朋友们一定会记得我前段时间写的一篇《Apache服务器实现301重定向详解》的文章,说的就是通过.htaccess来实现301重定向功能。那么这次笔者同样以.htaccess来实现。首先还是普及下什么是404和503错误。对于Apache的404错误页面自定义设...
404 Not Found错误页面的解决方法和注意事项
热门推荐
chenyeyu429001807的专栏
02-23 3万+
一、404 Not Found是什么意思? 404页面就是当用户访问某网站时,点击了错误的链接时,所返回的页面。最常见的出错提示:404 Not Found。其目的就是告诉浏览者其所请求的页面不存在或链接错误,同时引导用户使用网站其他页面而不是关闭窗口离开。错误页面的文字可以自定义,有些网站没有设置404错误页面,或者是直接采取的跳转到首页,这样一般都说对搜索引擎不是很友好。 HTTP
Web系统常见安全漏洞介绍及解决方案-XSS攻击
java后端开发的博客,不仅仅是后端开发
07-04 1602
跨站脚本攻击XSS因破坏力强大、产生的场景复杂、难以解决而成为客户端安全中的头号杀手,本文将深入探讨XSS攻击的原理,以及对应的解决方案。
web基础漏洞总结
<XiaoHai>的博客
06-04 1894
web基础漏洞详解
Web系统常见的几种漏洞及防护方案
2301_76161259的博客
03-28 1295
利用漏洞对计算机进行攻击渗透,前提是服务器能正常通信。服务器提供各种服务给客户端进行使用的。它是依靠端口来进行通信,黑客也是根据端口来进行入侵的。那么也不排除一些物理攻击的方式,例如社会工程学①等。
CMPP华为短信包,解决了webspare下使用报错的问题
11-15
针对华为CMPP短信包在webspare无法正确读取资源文件的BUG进行了修复。解决 webspare环境下CMPPSMProxy初始化失败的问题
Web安全漏洞加固手册 V2.0
03-17
Web安全漏洞加固手册 V2.0
web安全常见漏洞浅析
01-08
Web 业务逻辑中,存在许多安全漏洞,例如越权删除、修改、获取;支付逻辑等。 二、应用逻辑漏洞 应用逻辑漏洞是指在 Web 应用程序中,由于设计不当或实现不当引发的一些漏洞,例如验证码缺陷、越权、加密脆弱、...
web安全漏洞挖掘梳理
06-22
Web 安全漏洞挖掘梳理 - XXE 漏洞梳理 Web 安全漏洞挖掘梳理是指在 Web 应用程序中发现和利用安全漏洞的过程。其中,XXE 漏洞是一种常见的安全漏洞,攻击者可以通过构建外部实体注入来攻击 Web 应用程序。 1.什么...
web安全漏洞加固手册
06-22
本文档是关于 Web 安全漏洞加固手册的详细指南,旨在帮助开发者和安全专家了解和解决常见的 Web 安全漏洞。该手册涵盖了认证和授权类、命令执行类、文件上传类等多种类型的漏洞,提供了详细的检测和修复方案。 认证...
web安全逻辑漏洞挖掘
06-22
web安全逻辑漏洞挖掘
漏洞01-目录遍历漏洞/敏感信息泄露/URL重定向
最新发布
汪敏的博客
01-31 460
目录遍历漏洞/敏感信息泄露/URL重定向
网站出现404错误的解决方法
qq2453939845的博客
04-11 1万+
404 Not Found页面是hk的登录页面 目前,恶意软件传播者、hk以及网络钓鱼欺诈分子仍将 Web Shell 登录表单隐藏在伪造的 HTTP 错误文档当中。这些页面被伪装为 HTTP 错误内容,例如 404 Not Found 或者 Forbidden,但其实际上属于hk的登录页面,攻击者能够借此访问 Web Shell 并在服务器上发出命令。 目前这种状况正持续增加 虽然这种做法并不新...
网站服务器经常性出现404错误的解决方案
weixin_33852020的博客
09-04 4824
网络上浏览页面出现的错误链接提示多种多样,出现404notfound也算是一个很普遍的问题,相信上网族都遇到过该情况,当我们打开某网页时会出现提示:404NotFound,看到该页面心情本就糟糕了,404notfound主要用于浏览器无法抓取网页内的信息,是引导读者继续浏览网站其他页面还是什么都不做,这就很好的考察网站体验度了。 404 not found 会提示用户本网页文件不存在或者已经转移到...
自定义404错误页面返回状态码分析
katehuang520的专栏
10-01 378
今天和大家分享一下自定义404错误页面返回状态码的相关问题,看到这篇文章,想必您是做站的,又或者就是从事seo的。那么,好,相信应该对404错误页面都有一定的熟悉了,但是,我发觉很多朋友对自定义404错误页面返回状态码存在着很多的误解,或者说根本就没有什么概念。所以今天,从以下四点对自定义404返回状态码的相关问题进行分析,希望能对大家有帮助!   第一,http状态码的分类与简单介绍
自定义错误404页面,自动跳转到站点首页
oathevil的专栏
04-26 1万+
 HTTP 404 错误意味着链接指向的网页不存在。在网站建设中想要完全避免这种情况是不可能的,比如说,我们常常需要对网站进行调整、改版,便会有网页被删除、改名或移动位置,这时候,虽然相应内容的网页还存在于网站中,但使用原来的地址访问则无法访问。——当然,对这类情况首先要考虑的是为原来页面地址做301重定向,以尽可能地减小对SEO效果的影响。——其次,在别人建立指向网站的链
最全前端面试问题及答案总结--《转载》
weixin_30595035的博客
03-11 1262
本文旨在加深对前端知识点的理解,资料来源于网络,博客:http://segmentfault.com/u/trigkit4。 前端开发面试知识点大纲: HTML&CSS: 对Web标准的理解、浏览器内核差异、兼容性、hack、CSS基本功:布局、盒子模型、选择器优先级及使用、HTML5、CSS3、移动端适应。 JavaScript: 数据类型、面向对象、继承、闭包、插...
slf4j和log4j的区别
weixin_46529122的博客
11-04 5579
slf4j和log4j的区别 作为开发人员,想必我们都非常熟悉日志的重要性,但是我们却非常容易忽略和日志的相关问题。平时我们使用最多的日志框架应该就是log4j,logback,log4j2。这些日志框架都是出自一个人之手: Ceki Gülcü。这些日志框架都很好用,并且也很完善,但是太依赖日志框架的jar包,当我们想换一种日志框架时,你就不得不去修改代码。 那么这个时候slf4j就孕育而生,slf4j(Simple Logging Facade for Java),java简易日志门面。是一套包装日志框
Web应用安全漏洞与防护电子书
"Web安全漏洞相关的电子书,涵盖了专业安全解决方案,由NSFOCUS的陈煜辉编写,日期为2010年6月。书中详细讨论了Web应用中的常见安全漏洞及其防范措施,包括注入攻击(A1: Injection)、跨站脚本攻击(A2: Cross-Site...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值