Java Web项目漏洞修复(绿盟检测)

最新推荐文章于 2024-05-05 20:51:43 发布
最新推荐文章于 2024-05-05 20:51:43 发布
阅读量5.3k 收藏 4
点赞数
分类专栏: Web项目漏洞修复 文章标签: Java Web漏洞 绿盟漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zhl704792104/article/details/82146470
版权

前言

在公司给客户做的一个项目中,客户使用绿盟进行了项目漏洞扫描,这里记录一下我做的一些漏洞修复方法。

  • 检测到目标URL存在http host头攻击漏洞

由于我使用的是Nginx,因此只需要在Nginx的配置文件里面配置,使项目只能以指定域名(由于没有提供域名,设置的是ip)来访问,如下在设置server_name,这里可以使用多个域名),如果使用其他域名(如localhost)访问直接返回403。配置示例如下:

server{

listen 8082 default;

       server_name _;

return 403;

}

server {

listen 8082;

       server_name  我的域名 127.0.0.1 

       …其他配置

}

上面的配置,注意第一个server中,代表除了用下面server中配置的域名来访问系统,其他会返回403页面。

  • 检测到会话Cookie中缺少HttpOnly
最低0.47元/天 解锁文章
黑人问号
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
在客户端设置cookie_检测CookieJavaScript的客户端浏览器设置
cunchi8090的博客
07-19 2522
在客户端设置cookieIntroduction and Prerequisites 简介和先决条件 This article describes methods for detecting whether a client browser accepts and returns HTTP cookies and whether the client b...
绿盟漏扫系统漏洞修复方案
DEFT1998的博客
02-19 8736
绿盟漏扫系统漏洞修复方案 漏洞1 详细描述: 1.X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部中对 MIME 类型 的设定,而不能对其进行修改。这就禁用了客户端的 MIME 类型嗅探行为,换句话说,也就是意味着网站管理员确定自己的设置没有问题。X-Content-Type-Options响应头的缺失使得目标URL更易遭受跨站脚本攻击。 2.HTTP X-XSS-Protection 响应头是 Inte
2024年Java最新Java代码审计之SpEL表达式注入漏洞分析_spel 代码审计(1),Java程序员需要掌握的知识
2301_82243769的博客
05-05 514
表达式注入Java 安全中一类常见的能够注入命令并形成 RCE 的漏洞,而常见的表达式注入方式有 EL 表达式注入、SpEL 表达式注入和 OGNL 表达式注入等。本文将通过调试分析 CVE-2022-22963 漏洞来入门学习 SpEL 表达式注入漏洞的原理。
绿盟扫漏出现的Web常规漏洞
一只咕咚的博客
03-10 4611
整理一下最近修复漏洞 ==== =环境:Java、tomcat、Linux==== 1、目标URL存在http host头攻击漏洞 解决方案: (1)将tomcat升级到7及以上版本 (2)修改tomcat中/conf/Server.xml配置文件 将host 节点里面 name名称改为域名,appBase:应用的目录 (3)Linux上增加hostname Vi /etc/hosts 修改好确保有成功 ping hostname (4)用burpsuite验证
Java 安全检测
weixin_33726313的博客
05-05 466
工具名称:Paros 下载地址:http://sourceforge.net/projects/paros/  工具简介   摘自SourceForge的原文:   A Java based HTTP/HTTPS proxy for assessing web application vulnerability. It supports editing/viewing HTTP...
检测到目标url存在客户端(javascript)cookie引用_利用Zabbix监控系统自动检测网站运行状态...
weixin_39673601的博客
12-08 4589
我们要检测一个网站是否正常运行,最好的方式是啥呢?我想最直接的办法就是打开浏览器输入要访问的网址,能打开网页说明网站是正常运行的,不能打开了则说明网站存在问题。通过上一篇文章《HTTP协议及其工作原理介绍》,我想您对HTTP协议会有一个简单的了解了,那么现在我们就利用Zabbix监控系统来帮我们检测目标网站的运行状态了。Zabbix提供了Web监测功能,监控到网站的响应时间,还可以根据访问站点返...
绿盟主机扫描报告生成1.3(修复web汇总bug).xls
07-22
能够对绿盟极光安全扫描器扫描出来的报告进行二次加工,目前可生成主机报告以及web报告。原先的绿盟生成出来的Excel格式报告非常乱,而且不好归类,我写了个宏将扫描出来后的主机问题全部按照漏洞类型,风险描述,...
常用图标库_绿盟.ppt
08-17
绿盟
绿盟售前工程师NSSP试题有带部分答案
11-06
绿盟售前工程师NSSP试题 ,115题 带部分答案, ,准备考绿盟售前工程师的朋友,可以看看!很有用!
检测到目标站点存在javascript框架库漏洞 绿盟 web
热门推荐
jingleifan的博客
05-30 2万+
详细描述 JavaScript 框架或库是一组能轻松生成跨浏览器兼容的 JavaScript 代码的工具和函数。如果网站使用了存在漏洞JavaScript 框架或库,攻击者就可以利用此漏洞来劫持用户浏览器,进行挂马、XSS、Cookie劫持等攻击 解决办法 将受影响的javascript框架库升级到最新版本 威胁分值 6 危险插件 否 发现日期 2001-0...
绿盟安全扫描--检测到目标站点存在javascript框架库漏洞
qq_33240556的博客
06-16 1051
解决方法: 升级jQuery版本到3.3.4,再次扫描,问题就解决了
检测到目标站点存在javascript框架库漏洞
Java旅途
08-05 1万+
这个漏洞绿盟扫描比较常见的一个漏洞,原因就是jquery版本。升级到3.3以上就可以了。 ——————————重点专用分割线—————————— vue项目并没有所谓的Jquery,为什么还会扫出这个漏洞。 这是因为vue项目里面引用了js-cookie用来存放登录的一些信息了。删除js-cookie重新打包就可以了。至于页面上的数据,那就存放在localstroge就行啦。 具体用法如下: var storage=localStorage; // 存放数据 storage.setItem("ke.
Java面试题(基础综合)
weixin_46453221的博客
08-27 586
一、Java基础 1.有哪些排序,列举一种? 2.equals和==,hashCode()和equals() 3.String、StringBuffer、StringBuilder 4.接口和继承区别? 5.集合了解吗?常用集合,arrayList和linkedList 6.final可以修饰的类、方法、变量 7.hashset和hashmap 8.了解哪些设计模型,平时怎么用? 9.object方法(clone,getClass,toString,finalize,equals,hashCode,wait
检测到目标url存在客户端(javascript)cookie引用_精确化测试——基于依赖关系的变动检测原理...
weixin_39932838的博客
12-08 2866
背景与动机无论是前端还是客户端,凡涉及到 GUI 的测试,基本都难以实现完全自动化测试。一方面因为 GUI 测试编写或录制的成本较高,第二方面是需求迭代得太快。所以不少公司都需要招聘测试团队,通过人力测试进行保证。但问题是,随着项目越来越大,需要进行回归的用例就越来越多,并且是一个指数级增长的过程,所以往往就只能凭工程师或产品经理的经验,猜测哪些逻辑可能会被影响,而哪些不会有影响。然而这样过于依赖...
Javascript客户端存储-cookie
Hoshizola的博客
03-20 696
一、什么是cookie Http cookie通常也叫做cookie,最初用于在客户端存储会话信息。这个规范要求服务器在响应http请求时通过发送Set-CookieHTTP头部包含会话信息。HTTP响应会设置一个名为name,值为value的cookie。名和值在发送时都会经过URL编码。浏览器会存储这些会话信息,并在之后每个请求中都会通过HTTP头部cookie再将它们发回服务器。这些发送回服务器的额外信息可用于唯一标识发送请求的客户端。 1.1 cookie的限制 cookie是与特定域绑定的。设置c
绿盟检测到目标Strict-Transport-Security响应头缺失
这把躺赢
10-22 1万+
1.问题展示 项目安全扫描,扫到以下问题。 检测到目标URL存在客户端(JavaScript)Cookie引用 检测到目标Strict-Transport-Security响应头缺失 检测到目标Referrer-Policy响应头缺失 检测到目标X-Permitted-Cross-Domain-Policies响应头缺失 检测到目标X-Download-Options响应头缺失 点击劫持:X-Frame-Options未配置 ..
js页面检测到目标站点存在javascript框架库漏洞
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
01-28 1万+
一、概述 在系统验收前安全检查时,绿盟检查到系统存在页面检测到目标站点存在javascript框架库漏洞,如下所示: 二、分析处理 这个漏洞绿盟扫描比较常见的一个漏洞,原因就是jquery版本。升级到3.3以上就可以了。 建议升级jquery,但盲目升级会导致网站部分插件不可用;本项目采用spring架构,建议处理: 1)、根据web应用漏洞,找到详情页,里面有具体的路径信息。从路径中找到该文件; 2)、注释掉版本信息; 3)、用最高版本信息代替。 如果是vue项目,你再里面引用了js-cookie
绿盟极光漏洞扫描工具
最新发布
06-08
绿盟极光漏洞扫描工具是由绿盟科技开发的一款专业的企业级网络安全扫描工具,主要用于发现网络中的安全漏洞,帮助企业和组织提升网络防护能力。它通过自动化的方式对目标网络进行系统、应用和服务的漏洞检测,提供全面的漏洞评估报告,包括弱口令、开放端口、系统漏洞等多个方面。 极光漏洞扫描器的特点包括: 1. **深度扫描**:能够深入网络各个层次,检测隐藏的漏洞。 2. **动态检测**:支持对Web应用的动态行为分析,找出常见的OWASP Top 10漏洞。 3. **实时更新**:持续跟进最新的安全威胁和漏洞数据库,保持扫描策略的时效性。 4. **易用界面**:提供友好的用户界面,便于管理和配置扫描任务。 5. **报告详尽**:生成的报告清晰直观,有助于快速理解和采取对应措施。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值