返回
javaweb安全验证漏洞修复总结

javaweb安全验证漏洞修复总结

ID:8805747

大小:220.00 KB

页数:29页

时间:2018-04-08

javaweb安全验证漏洞修复总结_第1页
javaweb安全验证漏洞修复总结_第2页
javaweb安全验证漏洞修复总结_第3页
javaweb安全验证漏洞修复总结_第4页
javaweb安全验证漏洞修复总结_第5页
资源描述:

《javaweb安全验证漏洞修复总结》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、EMA服务管理平台二期扩容安全验收漏洞修复总结2011年5月中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结目录1WEB安全介绍12SQL注入、盲注12.1SQL注入、盲注概述12.2安全风险及原因22.3AppScan扫描建议22.4应用程序解决方案43会话标识未更新73.1会话标识未更新概述73.2安全风险及原因分析73.3AppScan扫描建议83.4应用程序解决方案84已解密登录请求84.1已解密登录请求概述84.2安全风险及原因分析84.3AppScan扫描建议94.4应用程序解决方案

2、95跨站点请求伪造115.1跨站点请求伪造概述115.2安全风险及原因分析125.3AppScan扫描建议125.4应用程序解决方案126不充分账户封锁136.1不充分账户封锁概述136.2安全风险及原因分析136.3AppScan扫描建议136.4应用程序解决方案137启用不安全HTTP方法147.1启用不安全HTTP方法概述147.2安全风险及原因分析147.3AppScan扫描建议157.4应用程序解决方案158HTTP注释敏感信息168.1HTTP注释敏感信息概述168.2安全风险及原因分析1

3、68.3AppScan扫描建议168.4应用程序解决方案169发现电子邮件地址模式16-ii-中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结9.1发现电子邮件地址模式概述169.2安全风险及原因分析179.3AppScan扫描建议179.4应用程序解决方案1710通过框架钓鱼2010.1通过框架钓鱼概述2010.2安全风险及原因分析2010.3AppScan扫描建议2010.4应用程序解决方案2311检查到文件替代版本2511.1检查到文件替代版本概述2511.2安全风险及原因分析2511.3

4、AppScan扫描建议2511.4应用程序解决方案26-ii-中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结1Web安全介绍目前很多业务都依赖于互联网,例如说网上银行、网络购物、网游等,很多恶意攻击者出于不良的目的对Web服务器进行攻击,想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样,Web业务平台最容易遭受攻击。同时,对Web服务器的攻击也可以说是形形色色、种类繁多,常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。一方面,由于TC

5、P/IP的设计是没有考虑安全问题的,这使得在网络上传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进程缓冲区溢出,攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序,甚至安装和运行恶意代码,窃取机密数据。而应用层面的软件在开发过程中也没有过多考虑到安全的问题,这使得程序本身存在很多漏洞,诸如缓冲区溢出、SQL注入等等流行的应用层攻击,这些均属于在软件研发过程中疏忽了对安全的考虑所致。另一方面,用户对某些隐秘的东西带有强烈的好奇心,一些利用木马或病毒程序进行攻击的攻击者,往

6、往就利用了用户的这种好奇心理,将木马或病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中,然后把这些文件置于某些网站当中,再引诱用户去单击或下载运行。或者通过电子邮件附件和QQ、MSN等即时聊天软件,将这些捆绑了木马或病毒的文件发送给用户,利用用户的好奇心理引诱用户打开或运行这些文件、2SQL注入、盲注2.1SQL注入、盲注概述Web应用程序通常在后端使用数据库,以与企业数据仓库交互。查询数据库事实上的标准语言是SQL(各大数据库供应商都有自己的不同版本)。Web应用程序通常会获取用户输入(取自H

7、TTP请求),将它并入SQL查询中,然后发送到后端数据库。接着应用程序便处理查询结果,有时会向用户显示结果。如果应用程序对用户(攻击者)的输入处理不够小心,攻击者便可以利用这种操作方式。在此情况下,攻击者可以注入恶意的数据,当该数据并入SQL26中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结查询中时,就将查询的原始语法更改得面目全非。例如,如果应用程序使用用户的输入(如用户名和密码)来查询用户帐户的数据库表,以认证用户,而攻击者能够将恶意数据注入查询的用户名部分(和/或密码部分),查询便可能更

8、改成完全不同的数据复制查询,可能是修改数据库的查询,或在数据库服务器上运行Shell命令的查询。1.1安全风险及原因高风险漏洞,攻击者可能会查看、修改或删除数据库条目和表原因:未对用户输入正确执行危险字符清理1.2AppScan扫描建议若干问题的补救方法在于对用户输入进行清理。通过验证用户输入未包含危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意SQL查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令,等等

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。