安全测评总结

男娘i 2022-05-30 08:58 223阅读 0赞

1.跨站点请求伪造

解决方式：在过滤器检测浏览器过来请求的Referer，是否存在改变，如果改变则跳转错误页面

//跨站点请求伪造

String referer = "http://192.168.0.66:8080/szcitymgt";
    if(referer != null){
    	if(!referer.trim().startsWith(myReferer)){//myReferer是系统的（域名）或者是（ip+端口+项目名）
    		httpResponse.setContentType("text/htmll;charset=utf-8");
    		httpResponse.setCharacterEncoding("utf-8");
    		httpResponse.setStatus(403);
    		httpResponse.sendRedirect(httpRequest.getContextPath()+"/500page.jsp");
    	}
    }

2.使用 HTTP 动词篡改的认证旁路

解决方式：在过滤器检测浏览器过来请求的method类型

String method = httpRequest.getMethod();
    if(!"GET".equals(method) && !"POST".equals(method) && !"HEAD".equals(method)){
    	httpResponse.setContentType("text/htmll;charset=utf-8");
    	httpResponse.setCharacterEncoding("utf-8");
    	httpResponse.setStatus(403);
    	httpResponse.sendRedirect(httpRequest.getContextPath()+"/500page.jsp");
    }

3.非法访问静态地址

解决方式：在过滤器检测浏览器过来的请求是否为静态地址

String uri = httpRequest.getRequestURI();

根据uri的字符串判断是否包含静态地址，如果包含则判断用户是否有登录，没有登录则跳转到登录页面

4.已解密的登录请求

解决方式：登录时使用ssl证书，或者去掉input 中的type="password"，但去掉password类型后，密码就会暴露出来了，怎么办？我这里写了一个屏蔽密码的方法，希望能帮到你们。

5.跨站点脚本编制

解决方式：过滤掉特殊字符

6.登录错误消息凭证枚举

解决方式：密码错误或者账户错误等等错误信息必须使用同一的错误信息提示。

7.会话表示未更新

解决方式：使用过滤器，拦截登录请求，在登录之前，吧旧有的session里的值拿到新的session里这时session的ID就会改变。