申明:这些问题都比较简单,属于初学者级别,大牛勿喷,
最近做了个内部监控和管理系统,本来很小的系统,结果被我同事拿个安全扫描软件(不知哪儿搞来的)扫出很几个漏洞,下面就总结一下:
问题1、SQL注入,在登录的时候,已经做好了防SQL操作,但是在登录之后,考虑的比较少,DAO层有字符串拼接SQL操作,导致一旦获取到管理员账号后,很容易实现SQL
注入。
解决:这个我知道的有两种,一:不是用字符串拼接,采用PreparedStatement传参的形式来规避,虽然我也采用PreparedStatement,但是SQL语句还是有部分是用了拼
接。二:检查请求参数,查看请求参数中是否包含and、exec、insert、select、delete、update、count、*、chr、truncate、or关键字,如果参数中包含这些关键字,
基本可以确定为SQL注入,将此次请求抛弃。基于修改成本,我采用了第二种方式,增加了一个Filter来过滤所有请求。
问题2、用户名和密码在网络中明文传递,虽然登录的时候,我采用了post这种方式提交,但是明文在网络中传递,还是容易被别人拦截。
解决:这个我知道的也有两种,一、在传递之前,是用JS将用户名和密码加密,然后再提交,网上有很多这种处理,但是这种有两个不好的地方:A,治标不治本,虽然
在网络上传递时,采用的是密文,但是在客户端登录页面,可以很轻易的查看到JS源代码,在网络中拦截到请求之后,很容易将密文解密;B,这种方式如果采用Post方
式提交,需要JS获取用户名和密码之后进行加密,然后修改原来的值,这样浏览器保存的用户名和密码都是密文,要求每次登录都必须手动输入用户名和密码,即无法使
用浏览器的保存密码功能;如果采用get方式提交,则登录参数会直接暴露在URL中。二、直接走https协议。三、我觉得应该还有很多其他处理方式,只是我不知道,需
要在网上查查,后续补充
问题3,Struts2漏洞
例如提交一个如下请求http://192.168.1.111:8080//monitor/monitor/querysids.action?('\u0023_memberAccess[\'allowStaticMethodAccess\']')(meh)=true&
(aaa)(('\u0023context[\'xwork.MethodAccessor.denyMethodExecution\']\u003d\u0023foo')(\u0023foo\u003dnew%20java.lang.Boolean(%22false%22)))&(asdf)
(('\u0023thread.sleep(0)')(\u0023thread\u003d@java.lang.Thread@currentThread()))=1,该请求主要利用Strtus2的漏洞,消耗系统资源,该URL中,关键部分为
thread.sleep(0),该段代码主要是触发操作系统立刻重新进行一次CPU竞争。
解决:升级到最新的Strtus2
问题4,跨站攻击
发布的时候,不小心把SVN的.svn问题提交到服务器上了,这些问题可能引起跨站攻击
解决:删除所有.svn文件
分享到:
相关推荐
广州小升初十类经典面试问题汇总.pdf
C++小技巧和问题汇总,资料来源于网络。上传只是为了可以让更多人共享。如果涉及到作者的版权问题,请联系我删除该资源。
小学生一年级数学排队问题汇总PPT学习教案.pptx
ECshop商城程序常见的96个小问题汇总
SQL server 2005安装问题汇总
毕业答辩问题汇总
主要介绍了微信小程序点餐系统开发常见问题汇总,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
中小学生学籍信息管理系统常见问题汇总.doc
主要讲解STM32中JLINK问题汇总,很详细
广州小升初十类经典面试问题汇总.doc
Oracle EBS Form开发小技巧汇总 2 Form中Block的重新查询 9 客户化Form中实现行号功能 12 使用Custom.pll修改标准Form的LOV 16 实现主从关系Form中汇总行金额/数量 21 Oracle EBS客户化程序中格式化金额 25 Form中...
中小物流企业信息化的现状和存在问题及建议汇总
FastReport常见的几个问题 1.FastReport中如何共用TFrxreport及TfrxDBDataSet 2.如何打印空白处? 3.如何打印指定行数后换页? 4.fastreport中如何把数据显示为百分比 5.FastReport如何打印表格式的空行? 6.在...
1.用药剂量的选择问题:用药时间每天有很多次,这里只有一个选项建议:划分出剂量、次数、时间、根据时间提醒用药 2.症状申请问题:普通用户可能分不清“症状”和“疾
Java 全栈知识点问题汇总(上) _ Java 全栈知识体系.html
课时195【小项目:门店信息汇总】5.强调的几个问题.mp4
问题一:我们小功率用到最多的反激电源,为什么我们常常选择65K或者100K(这些频率段附近)作为开关频率?有哪些原因制约了?或者哪些情况下我们可以增大开关频率?或者减小开关频率? 开关电源为什么常常选择65K...
此文档是关于企业CMMI评审访谈,PI(开发)部分的问题及答案的相关整理内容。文中列举了数十个问题,真实经历整理总结。希望能帮到各位小伙伴。。 此文档是关于企业CMMI评审访谈,PI(开发)部分的问题及答案的相关...
开发中技术问题汇总 1.使用e.target.dataset的出现问题 在小程序开发过程中,我们经常会用到标签中属性的属性值,我们通常会在 中 设置 data-*="{{XXX}}" 然后在 JS 里通过 e.target.dateset.* 来获取XXX值,...
ZServer4D日常问题汇总3