常见安全漏洞修复 Love The Way You Lie 2023-02-16 12:25 18阅读 0赞 一、xss: 1、介绍:将跨站脚本攻击(Cross Site Scripting)缩写为CSS,但这会与层叠样式表(Cascading Style Sheets,CSS)的缩写混淆。因此,有人将跨站脚本攻击缩写为XSS。 2、分类:存储型,反射型,DOM型。 3、危害: (1)、盗用cookie,获取敏感信息。 (2)、利用植入Flash,通过crossdomain权限设置进一步获取更高权限;或者利用Java等得到类似的操作。 (3)、利用iframe、frame、XMLHttpRequest或上述Flash等方式,以(被攻击)用户的身份执行一些管理动作,或执行一些一般的如发微博、加好友、发私信等操作。 (4)、利用可被攻击的域受到其他域信任的特点,以受信任来源的身份请求一些平时不允许的操作,如进行不当的投票活动。 (5)、在访问量极大的一些页面上的XSS可以攻击一些小型网站,实现DDoS攻击的效果。 简单来说就是攻击者通过正常的页面或请求,将非法的参数(如:js代码、html代码)请求到后端存储在数据库中,等下次页面回显时执行非法的参数,从而达到攻击的目的。 4、修复方法: (1)、对用户输入的数据进行严格过滤,包括但不限于以下字符及字符串 Javascript script src href img onerror onload \{ \} ( ) <> = , . ; : " ' \# ! / \* \\ (2)、 根据页面的输出背景环境,对输出进行编码,常见符号的实体编码如下:\[较根本的解决方法\] “(双引号):" ’ (单引号):&apos &(&符号):& <(左尖括号):< >(右尖括号):> (3)、 使用一个统一的规则和库做输出编码 (4)、 在Cookie 上设置HTTPOnly 标志,从而禁止客户端脚本访问Cookie 如: 5、修复案例: (1)存储型 private static String handleContext(String value) { if (value != null) { value = value.replaceAll("", ""); Pattern scriptPattern = Pattern.compile("<script>(.*?)</script>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("src[\r\n]*=[\r\n]*\\\'(.*?)\\\'", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("</script>", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("<script(.*?)>", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("eval\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("expression\\((.*?)\\)", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("javascript:", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("vbscript:", Pattern.CASE_INSENSITIVE); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("onload(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile("onerror(.*?)=", Pattern.CASE_INSENSITIVE | Pattern.MULTILINE | Pattern.DOTALL); value = scriptPattern.matcher(value).replaceAll(""); scriptPattern = Pattern.compile(".*<.*", Pattern.CASE_INSENSITIVE ); value = scriptPattern.matcher(value).replaceAll(""); } return value; } (2)反射型: 二、
相关 实战案例:Java Web应用中常见安全漏洞及修复 在Java Web应用中,常见的安全漏洞主要包括以下几个方面: 1. **SQL注入**:攻击者通过输入恶意的SQL代码,获取或修改数据库中的信息。 2. **XSS跨站脚 灰太狼/ 2024年09月11日 19:15/ 0 赞/ 64 阅读
相关 JAVA开发(web常见安全漏洞以及修复建议) web安全常见漏洞 ![20ccca2995fc476c92c056ec03add986.png][] ![2f8e22a602764f1298b2d53f02f8d7b5 傷城~/ 2024年03月29日 14:37/ 0 赞/ 99 阅读
相关 Nacos安全漏洞如何修复和升级 今晚最新发布的1.4.1热修复版本已经对于User-Agent绕过安全漏洞的问题及控制台不可用的问题进行了全面的修复。对于漏洞及相关问题我不在赘述,接下来我主要讲如何进行升级加 今天药忘吃喽~/ 2023年01月08日 03:22/ 0 赞/ 359 阅读
相关 centos7.4 安全漏洞修复 1.未设置密码尝试次数锁定 编辑以下文件/etc/pam.d/system-auth, /etc/pam.d/password-auth, /etc/pam.d/sshd, 向右看齐/ 2022年12月29日 12:44/ 0 赞/ 350 阅读
相关 应用安全漏洞及修复 应用安全漏洞及修复 近期阿里云服务漏洞扫描,发现大量应用安全漏洞,做出安全漏洞修复方案,一般三方jar包漏洞,官方发布漏洞时,肯定已有新版本做了处理,所以我们只需要做ja 旧城等待,/ 2022年10月31日 00:54/ 0 赞/ 384 阅读
相关 如何应对安全漏洞的修复 在大多数企业和公司,并没有专门的信息安全部和安全工程师,所以安全漏洞的修复责任就落到了运维部门的工程师头上,那么当你拿到了一份安全评估报告后,该如何应对安全漏洞的修复呢? 首 川长思鸟来/ 2022年04月03日 07:20/ 0 赞/ 350 阅读
相关 WEB常见漏洞及修复参考 <table> <tbody> <tr> <td>漏洞类型</td> <td>造成原因</td> <td>修复方案</td> </tr> 浅浅的花香味﹌/ 2022年02月04日 15:59/ 0 赞/ 320 阅读
相关 常见Web安全漏洞 [常见Web安全漏洞][Web] 1.web安全常见攻击手段 xss sql注入 防盗链 csrf 上传漏洞 2. 信息加密与漏洞扫描 对称加密 冷不防/ 2022年01月28日 12:45/ 0 赞/ 355 阅读
还没有评论,来说两句吧...