设计或逻辑漏洞--IP设计缺陷

最新推荐文章于 2023-02-03 22:48:34 发布
最新推荐文章于 2023-02-03 22:48:34 发布
阅读量1k 收藏
点赞数
分类专栏: 安全 文章标签: tcp/ip 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xhwangsgtl/article/details/123005609
版权

业务系统实现审计日志功能时在记录IP时从请求头信息(x-forwarded-for等)中获取IP地址,x-forwarded-for等信息可以进行伪造,从而造成系统存在设计缺陷,更严重的会存在XSS漏洞。

检测方法:

1)使用burpsuite拦截访问请求,放入repeater中

2)在请求中增加参数X-Forwarded-For: 10.10.1.13)查看系统日志,检查日志内容中IP字段是否记录为10.10.1.1,如果是则说明存在漏洞。

解决方案:

系统获取IP地址时,使用request.getRemoteAddr()方法,可避免此设计缺陷。

夜行者~
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
RGCMS睿谷信息管理系统-PHP
06-21
版本号:1.12更新时间:2020-02-01更新内容更新Layui至最新版本2.5.6新增HOME模块和USER模块的间件修复搜索和功能模型标签冲突的BUG修复域名绑定分站存在的逻辑上的缺陷完善栏目会员阅读权限版本号:1.11更新时间...
关于漏洞的基础知识
tlovejr的博客
03-17 2342
漏洞的定义 官方定义: 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在缺陷,从而可以使攻击者能够在未授权的下访问或破坏系统。 基本理解: 漏洞是协议在生命周期的各个阶段(设计、实现、运维等过程)产生的某类问题,这些问题会对系统的安全(机密性、完整性、可用性)产生影响。 BUG与漏洞: 漏洞与Bug并不等同:大部分的Bug影响功能性,并不涉及安全性,也就不构成漏洞;大部分的漏洞来源于Bug,但并不是全部,它们之间只是有一个很大的交集。 漏洞产生原因 漏洞是在硬件、软件、协议的具体实现或系..
设计逻辑漏洞
夜行者的博客
02-21 1101
程序都是通过逻辑实现各种丰富多彩的功能的,要实现这些功能,必须掌握大量的技巧并进行周密的安排。但是,有很多情况这些功能逻辑存在缺陷,比如程序员的安全意识,比如考虑问题不周全等。即使是最简单的web应用程序,每个阶段都会执行大量的逻辑操作。 设计缺陷/逻辑漏洞包括但不仅限于: • 1)修改数值 • 2)验证码爆破 • 3)修改响应包 • 4)修改密码 • 5)服务端无有效验证 • 6)未授权访问 • 7)返回密码信息 • 8)密码明文存储 检测方法: 1.修改数值(如:构造SQL语句可被
web-攻击逻辑设计漏洞】(8.2)设计缺陷:多阶段多值可选、相同功能组件、负值等意外值
08-22 406
【逻辑设计缺陷】多阶段多值可选、相同功能组件、负值等意外值
Web安全之不安全设计类漏洞详解及预防
路多辛的所思所想
02-03 586
安全设计漏洞主要指在系统设计和架构设计,由于不恰当的设计导致的安全风险。需要注意不安全设计和不安全的实现的区别,因为它们有不同的原因和预防措施。不安全设计即使完美得被实现出来,也依然是有问题的,因为在设计过程就没有考虑针对特定攻击的安全防范措施。2、导出文件功能,禁止使用先生成公共读的下载链接给到客户端下载的方式,需要使用更安全的方式来实现,例如二进流制形式下载。列出的这五条只是不安全设计类漏洞的很小一部分,更多的相关漏洞需要根据漏洞定义去体会和理解。常见的不安全设计类漏洞及预防措施。
因设置或设计上的缺陷引发的安全漏洞
tumi
07-19 373
因设置或设计上的缺陷引发的安全漏洞: 1、强制浏览(是指从安置在Web服务器的公开目录下的文件,浏览那些原本非自愿公开的文件) 2、不正确的错误消息处理(是指Web应用的错误信息内包含对攻击者有用的信息) 3、开发重定向(是一种对指定的任意URL作重定向跳转的功能)...
网络安全技术原理与实践--第一章-网络安全概论.pptx
06-09
拒绝服务攻击攻击 拒绝服务(Denial of Service,DOS)就是故意的攻击网络协议缺陷或直接通过野蛮手段耗尽被攻击对象的资源,使受害主机或网络不能及时接收处理外界请求,或无法及时回应外界请求的能力,甚至导致...
计算机网络安全现状与防护策略的论文-计算机网络论文.docx
06-07
网络软件不可能是百分之百的无缺陷和无漏洞的,这些漏洞和缺陷恰恰是黑客进行攻击的首选目标。wWW..com      二、计算机网络系统安全策略 1、网络物理安全策略。计算机网络系统物理安全策略的目的是保护计算机...
Web安全培训ppt(适合初学者)
10-31
4、逻辑漏洞(3天) 平行越权 垂直越权 任意密码重置 支付漏洞:0元购 接口权限配置不当: 验证码功能缺陷: 5、框架漏洞(2天) struts2漏洞、Spring远程代码执行漏洞、Java反序列化漏洞 6、建站程序漏洞(1天) ...
VulManAgg:AppSec & OpSec 漏洞管理聚合(工具列表)
05-30
静态 AppSec 定义项目及其依赖的源代码存储库并扫描逻辑缺陷作为 BUGS、漏洞、SMELLS 并测量测试覆盖率和重复,因此再次根据生成的结果表示不同的数据集,尝试映射所有这些领域是非常具有挑战性。 尝试将这些领域...
web系统设计缺陷漏洞:防止修改响应包,造成逻辑漏洞
08-02 3274
背景: 使用SSM做的web系统,在进行渗透测试的时候暴露出漏洞:设计缺陷:修改响应包,扰乱系统正常逻辑 设计缺陷/逻辑漏洞包括: 1 修改数值; 2 验证码爆破; 3 修改相应包; 4 修改密码; 5 服务端无有效性校验; 整改方案:(此方案还是有缺陷) 1 首先保证所有功能在服务器端做有效性校验。例如,应该填写数字的地方不允许保存别的字符等。 ...
IP地址的规划和设计方法(一)
热门推荐
life is wonderful
07-31 2万+
一,IP地址的概念和划分地址新技术的研究         (1)标准分类的IP地址         第一阶段是在IPv4协议制定的初期,时间大致在1981年左右。那时候网络的规模比较小,用户一般是通过终端, 经过大型计算机或小型计算机接入ARPANET。         IP地址是由网络号与主机号组成的,长度是32bit,用点分十进制方法表示,这样就构成了标准分类的IP地址。常 用的A
漏洞的分类
木子的博客
09-03 4513
按照漏洞的形成原因,漏洞大体上可以分为程序逻辑结构漏洞、程序设计错误漏洞、开放式协议造成的漏洞和人为因素造成的漏洞。 按照漏洞被人掌握的情况,漏洞又可以分为已知漏洞、未知漏洞和0day等几种类型。  程序逻辑结构漏洞 这种类型的漏洞有可能是编程人员在编写程序时,因为程序的逻辑设计不合理或者错误而造成的程序逻辑漏洞。这种类型的漏洞最典型的要数微软的Windows 2000用户登录的文输入法漏
IP欺骗
张伟杰
11-18 7351
什么是IP欺骗? IP欺骗就是使用其他计算机的IP来骗取连接,获得信息或者得到特权。通俗的说,就是攻击者将一台计算机的IP地址修改为其它主机的地址,以伪装冒充其他机器。 IP欺骗的原理 首先了解一个网络的具体配置及IP分布,然后改变自己的地址,以假冒身份发起与被攻击方的连接。这样做就可以使所有发送的数据包都带有假冒的源地址。 如下图所示: IP欺骗小例子   如上图所示,我先打开两台虚拟机,一台...
获取用户Ip地址常见安全隐患及解决办法
山鸡的春天
09-13 2545
分析过程 这个来自一些项目,获取用户Ip,进行用户操作行为的记录,是常见并且经常使用的。 一般朋友,都会看到如下通用获取IP地址方法。function getIP() { if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) { $realip = $_SERVER['HTTP_X_FORWARDED_FOR']; } el
日志包含漏洞
qq_51553814的博客
11-03 3077
日志包含漏洞也是ssrf的一种吧,同样服务器没有很好的过滤,或者是服务器配置不当导致用户进入了内网 原理 首先需要开启服务器记录日志功能 在不同的系统,存放日志文件地方和文件名不同 apache一般是/var/log/apache/access.log nginx的log在/var/log/nginx/access.log和/var/log/nginx/error.log 由于访问URL时访问URL时,服务器会对其编码,所以得通过抓包的形式尝试注入 实际运用 先通过/etc/passwd判断是否存在ssrf
IP欺骗的原理(转载)
小麦先生
05-24 2262
IP欺骗是在服务器不存在任何漏洞的情况下,通过利用TCP/IP协议本身存在的一些缺陷进行攻击的方法,这种方法具有一定的难度,需要掌握有关协议的工作原理和具体的实现方法。 一、TCPIP协议的简单说明:     TCP/IP(传输控制协议/网际协议)是一种网络通信协议,它规范了网络上的所有通信设备,尤其是一个主机与另一个主机之间的数据传输格式以及传送方式,TCP
常见逻辑漏洞总结
weixin_44477223的博客
10-19 8861
常见逻辑漏洞 简介 逻辑漏洞是指由于程序逻辑不严导致一些逻辑分支处理错误造成的漏洞。 在实际开发,因为开发者水平不一没有安全意识,而且业务发展迅速内部测试没有及时到位,所以常常会出现类似的漏洞。 1.交易逻辑漏洞 ...
SSL协议漏洞-CVE-2016-2183
最新发布
07-27
回答: SSL协议漏洞CVE-2016-2183是一种信息泄露漏洞,可以通过修复方法来解决。修复方法主要是通过修改SSL密码套件算法来解决漏洞。具体的修复步骤如下:使用gpedit.msc进入组策略编辑器,依次打开计算机配置->管理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值