- 浏览: 897499 次
- 性别:
- 来自: 北京
文章分类
- 全部博客 (498)
- J2EE (52)
- 数据库 (17)
- java基础 (43)
- web技术 (19)
- 程序设计 (6)
- 操作系统 (18)
- IT资讯 (7)
- 我的IT生活 (12)
- 学习笔记 (9)
- Jquery (25)
- JavaScript (18)
- spring (40)
- Hibernate (12)
- Struts (10)
- YUI (2)
- Extjs (22)
- .net (0)
- Eclipse (10)
- 社会主义 (2)
- 服务器 (9)
- CSS (8)
- 网络安全 (16)
- 版本控制 (9)
- PHP (2)
- Oracle (42)
- SQL server (1)
- Mysql (11)
- 项目管理 (3)
- 开发工具使用 (10)
- SQL语句 (7)
- Perl (0)
- Shell (6)
- 漏洞 (4)
- ibatis (5)
- hacker (2)
- SQL注入 (6)
- Hacker工具 (2)
- 入侵和渗透 (7)
- 插件/组件 (2)
- 最爱开源 (5)
- 常用软件 (2)
- DOS (1)
- HTML (2)
- Android (9)
- CMS (1)
- portal (8)
- Linux (7)
- OSGI (1)
- Mina (5)
- maven (2)
- hadoop (7)
- twitter storm (2)
- sap hana (0)
- OAuth (0)
- RESTful (1)
- Nginx (4)
- flex (1)
- Dubbo (1)
- redis (1)
- springMVC (1)
- node.js (1)
- solr (2)
- Flume (1)
- MongoDB (2)
- ElasticSearch (1)
最新评论
-
M_drm:
请问要怎么设置浏览器才不报没权限呢?
用JS在页面调用本地可执行文件的方法(ACTIVEX) -
Alexniver:
官方文档。When importing data into I ...
mysql导入数据过慢 解决方法 -
camelwoo:
我记得 Criteria 可以做连接查询与子查询,也可以做分页 ...
Hibernate总结篇二 -
zhenglongfei:
楼主如果SubKeyName 这个节点不存在,怎么办??怎么用 ...
Java操作注册表 -
yxx676229549:
用log4j 2 了
logback
首先简单描述一下系统情况:采用的技术struts1.2,EJB3.0,另外公司以前封装了一套jsp标签;应用服务器jboss4.0.2;数据库为SQL Server2005。
目前我还有2类问题还没有解决—1:会话标识未更新
2:发现数据库错误模式
希望有解决过此类问题的大虾们,能给予一点帮助!
在此先行谢过!!
系统将近验收的时候,对方发过来一份安全报告- -我们开发的系统有安全漏洞,让我们把漏洞级别为严重的全部解决,否者不予验收。对于这些问题,公司其它项目组包括我都没有人曾经做过(也就是说系统从开始打框架到后来的开发过程没有任何人注意这些问题)。此时脑海浮现一句较为经典的网语“内事问baidu,外事问google…”。经过几天的搜索,简单描述一下我对以下几个安全问题的理解:
1 发现数据库错误模式:主要是一些数据连接错误信息,通过提交特殊构造的字符,程序会暴露一些数据库信息,也容易引起SQL注入攻击。
2 会话标识未更新:是cookies过期时间未设置,可能会引发一些cookies欺骗攻击。
3 跨站点请求伪造:这个是高级攻击技术,是黑客作为中间人攻击,这个漏洞是程序造成的,在不同的会话中两次发送同一请求并且收到相同的响应,也就是说客户端与服务端建立连接后,客户端向服务端提交数据,服务端只认客户端需要什么而返回什么内容给客户端,并没有对客户端的身份进行认证。
4 不充分帐户封锁:程序没有使用锁定功能,可以穷举密码。
5 跨站点脚本编制:实际翻译应该是跨站脚本攻击。也就是XSS,是服务端没有对客户端提交的参数进行过滤,例如:2009>%22%27><img%20src%3d%22javascript:alert(473443)%22>,这个就会弹出一个窗口,还可以弹出其他页面,或者做页面跳转等攻击,通常攻击者用来挂马。
6 SQL 盲注也是要对参数进行过滤,包括危险字符,‘,;@,==,而且通过cookies提交的值也要进行过滤。
以下内容是我解决这些问题的过程
首先找了个IBM Rational AppScan 7.8的破解版装上
(一) 既然http访问有问题安全,那么我换个安全点的https试了试,结果发现严重级别的没有减少,反而严重程度为一般的倒是增加了好几类,晕!(jboss4.0.2配置https服务的步骤在压缩文件里面)
(二) 对于sql盲注有一下2种情况
1:http://172.16.200.219:9090/project/projectmemberaction.do (2)
code
name
2:http://172.16.200.219:9090/system/orgbaseinfoaction .do (3)
TcnSystemOrgDto.code
TcnSystemOrgDto.fullname
TcnSystemOrgDto.addrss
[(2)(3)分别表示该链接下面漏洞注入的个数]
我针对安全扫描的提示,逐个修改了对数据库列表及查询的操作,使其全部采用prepareStatement预编译的方式。因为系统涉及到的页面太多,对于用户输入框的过滤就不可能一个一个的去修改,因此我写了个filter(见附件)
做完这些之后,再继续扫描,发现第1种注入问题已经解决,然而第2种问题依旧,而且每次扫描的链接还不一样,正在苦恼之际看到CSDN上有个如下的帖子
彻底杜绝SQL注入
1.不要使用sa用户连接数据库
2、新建一个public权限数据库用户,并用这个用户访问数据库
3、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限
4、[用户]用户名称-> 右键-属性-权限-在sysobjects与syscolumns上面打“×”
其原文见如下路径 http://topic.csdn.net/u/20091221/18/6693545C-A659-4E3B-9454-EBB77D6C8D1F.html
至此,SQl盲注问题就已经解决。(前面的那个过滤器是否多余?这个问题还没来得及验证)
(三) 对于XSS问题,网上给的意见同样是过滤用户的输入。系统都在验收的阶段,哪有时间对输入框去做限制呢!同样写个filter(代码见附件)
(四) 对于不充分的账户封锁
我在登录页面加了一个验证码,在扫描的时候,发现appscan无法扫描,原来在这个工具有个地方设置为自动登录,我加上验证码后,Appscan无法流畅的运行,于是固定了登录action中关于验证的参数。这个问题就没有出现,奇怪???我屏蔽了验证参数的比较,因而页面验证码输入框只是一个摆设,这个问题怎么就没有了呢??
至此,我遇到的安全问题还有2类没有解决
一个是会话标识未更新,这个问题出现的地方是在登录的链接(附件有图片)
我试过在登录的login.jsp页面加上session="false"
1:<%@ page contentType="text/html; charset=GBK" language="java" session="false"%>
在系统登录过程中也没有操作cookie,而且系统其他的地方也没有操作cookie,在登录的时候我设置了cookies[i].setMaxAge(1800);也没有任何作用。
2:在jboss\server\default\deploy\jbossweb-tomcat55.sar\context.xml
修改其配置为<Context cookies="false">在登录的过程中确实没有创建名为JSEESION的cookie,但是“会话标识未更新”这个问题依然存在!!
是我的方法不对吗?还是我根本没有理解“会话标识未跟新”的意思?
另外一个未解决的安全问题是发现数据库错误模式,这个问题出现在另外一个系统,该系统采用Struts2+ Hibernate3开发
目前我还有2类问题还没有解决—1:会话标识未更新
2:发现数据库错误模式
希望有解决过此类问题的大虾们,能给予一点帮助!
在此先行谢过!!
系统将近验收的时候,对方发过来一份安全报告- -我们开发的系统有安全漏洞,让我们把漏洞级别为严重的全部解决,否者不予验收。对于这些问题,公司其它项目组包括我都没有人曾经做过(也就是说系统从开始打框架到后来的开发过程没有任何人注意这些问题)。此时脑海浮现一句较为经典的网语“内事问baidu,外事问google…”。经过几天的搜索,简单描述一下我对以下几个安全问题的理解:
1 发现数据库错误模式:主要是一些数据连接错误信息,通过提交特殊构造的字符,程序会暴露一些数据库信息,也容易引起SQL注入攻击。
2 会话标识未更新:是cookies过期时间未设置,可能会引发一些cookies欺骗攻击。
3 跨站点请求伪造:这个是高级攻击技术,是黑客作为中间人攻击,这个漏洞是程序造成的,在不同的会话中两次发送同一请求并且收到相同的响应,也就是说客户端与服务端建立连接后,客户端向服务端提交数据,服务端只认客户端需要什么而返回什么内容给客户端,并没有对客户端的身份进行认证。
4 不充分帐户封锁:程序没有使用锁定功能,可以穷举密码。
5 跨站点脚本编制:实际翻译应该是跨站脚本攻击。也就是XSS,是服务端没有对客户端提交的参数进行过滤,例如:2009>%22%27><img%20src%3d%22javascript:alert(473443)%22>,这个就会弹出一个窗口,还可以弹出其他页面,或者做页面跳转等攻击,通常攻击者用来挂马。
6 SQL 盲注也是要对参数进行过滤,包括危险字符,‘,;@,==,而且通过cookies提交的值也要进行过滤。
以下内容是我解决这些问题的过程
首先找了个IBM Rational AppScan 7.8的破解版装上
(一) 既然http访问有问题安全,那么我换个安全点的https试了试,结果发现严重级别的没有减少,反而严重程度为一般的倒是增加了好几类,晕!(jboss4.0.2配置https服务的步骤在压缩文件里面)
(二) 对于sql盲注有一下2种情况
1:http://172.16.200.219:9090/project/projectmemberaction.do (2)
code
name
2:http://172.16.200.219:9090/system/orgbaseinfoaction .do (3)
TcnSystemOrgDto.code
TcnSystemOrgDto.fullname
TcnSystemOrgDto.addrss
[(2)(3)分别表示该链接下面漏洞注入的个数]
我针对安全扫描的提示,逐个修改了对数据库列表及查询的操作,使其全部采用prepareStatement预编译的方式。因为系统涉及到的页面太多,对于用户输入框的过滤就不可能一个一个的去修改,因此我写了个filter(见附件)
做完这些之后,再继续扫描,发现第1种注入问题已经解决,然而第2种问题依旧,而且每次扫描的链接还不一样,正在苦恼之际看到CSDN上有个如下的帖子
彻底杜绝SQL注入
1.不要使用sa用户连接数据库
2、新建一个public权限数据库用户,并用这个用户访问数据库
3、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限
4、[用户]用户名称-> 右键-属性-权限-在sysobjects与syscolumns上面打“×”
其原文见如下路径 http://topic.csdn.net/u/20091221/18/6693545C-A659-4E3B-9454-EBB77D6C8D1F.html
至此,SQl盲注问题就已经解决。(前面的那个过滤器是否多余?这个问题还没来得及验证)
(三) 对于XSS问题,网上给的意见同样是过滤用户的输入。系统都在验收的阶段,哪有时间对输入框去做限制呢!同样写个filter(代码见附件)
(四) 对于不充分的账户封锁
我在登录页面加了一个验证码,在扫描的时候,发现appscan无法扫描,原来在这个工具有个地方设置为自动登录,我加上验证码后,Appscan无法流畅的运行,于是固定了登录action中关于验证的参数。这个问题就没有出现,奇怪???我屏蔽了验证参数的比较,因而页面验证码输入框只是一个摆设,这个问题怎么就没有了呢??
至此,我遇到的安全问题还有2类没有解决
一个是会话标识未更新,这个问题出现的地方是在登录的链接(附件有图片)
我试过在登录的login.jsp页面加上session="false"
1:<%@ page contentType="text/html; charset=GBK" language="java" session="false"%>
在系统登录过程中也没有操作cookie,而且系统其他的地方也没有操作cookie,在登录的时候我设置了cookies[i].setMaxAge(1800);也没有任何作用。
2:在jboss\server\default\deploy\jbossweb-tomcat55.sar\context.xml
修改其配置为<Context cookies="false">在登录的过程中确实没有创建名为JSEESION的cookie,但是“会话标识未更新”这个问题依然存在!!
是我的方法不对吗?还是我根本没有理解“会话标识未跟新”的意思?
另外一个未解决的安全问题是发现数据库错误模式,这个问题出现在另外一个系统,该系统采用Struts2+ Hibernate3开发
- 实例.rar (58.7 KB)
- 下载次数: 117
发表评论
-
Chrome+GoAgent+SwitchySharp教程
2012-11-26 15:15 5320Chrome+GoAgent+SwitchySharp ... -
Chrome+GoAgent+SwitchySharp教程
2012-11-26 15:15 10130一、下载安装chrome,并注册gmail邮箱 1、g ... -
如何用好 Google 搜索引擎?
2012-08-07 10:35 1578搜索引擎命令大全! 1 ... -
用java流方式判断文件类型
2012-06-28 09:50 1688原文:http://rainsilence.iteye.com ... -
进入邻居家的无线路由器
2010-06-18 15:36 2362对于一般的人来说,只顾着享受无线带来的便利,却对安全性不加重视 ... -
AJAX真的不安全?!
2010-06-18 14:39 1226前言 日前 ... -
端口扫描原理,(java)UDP端口扫描
2010-06-17 16:24 5683一个端口就是一个潜在 ... -
Resin多个远程信息泄露漏洞
2010-06-17 13:32 2067Caucho Resin多个远程信息泄露漏洞 由于我工作的原因 ... -
网络安全新手必备基础知识
2010-06-17 10:47 1125Q:网络安全新手必备基础知识 A:网络安全是指网络系统的 ... -
局域网里固定IP地址无法上网故障解决方法
2010-06-17 10:45 2324俗话说“林子大了,什么鸟都有”,当局域网的组网规模越来越大时 ... -
无线网络安全连接保护措施简介
2010-06-17 10:42 977无线网络系统如果没有 ... -
网络安全基础知识
2010-06-17 10:15 1115计算机网络的应用之一 ... -
局域网电脑互访的设置大全
2010-06-17 10:11 26651、取消默认的“简单文件共享” 双击我的电脑/工具/文件夹选项 ... -
黑客必备工具
2010-06-17 10:05 1337一 必备基本工具 1 Netcat 2 I ... -
黑客入侵网站的方法大集合(适合新手)
2010-06-17 09:32 5516常研究网站入侵。再收 ... -
如何欺骗人执行木马
2010-06-17 09:30 1122如今大多数上网的朋友 ... -
常见Web应用安全问题(1 - 4)(一)
2010-05-31 17:05 1544经过上两篇(《Web安全 ...
相关推荐
Web安全扫描工具:appscan安装步骤、使用
一款强大的 web安全 扫描工具,可以对网站等 Web 应用 进行自动化的 应用安全扫描和 测试。
Web安全测试:《Appscan用户指南》《Web安全深度剖析(张炳帅编著)》
亲测可用,可用于web应用安全扫描,规则库28150
Web漏洞扫描之AppScan用法教程
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
AppScan是IBM的web安全扫描工具,利用爬虫技术对网站进行安全渗透测试,本文档详细记录了怎么用AppScan对网站进行安全测试。
同时还会对cookie管理、会话周期等常见的web安全漏洞进行检测。 AppScan功能十分齐全,支持登录功能并且拥有十分强大的报表。在扫描结果中,不仅能够看到扫描的漏洞,还提供了详尽的漏洞原理、修改建议、手动验证等...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试AppScan手册安全测试...
最新版本的AppScan10.2.0,亲测可用
AppScan的Web应用安全测试使用简明AppScan的Web应用安全测试使用简明AppScan的Web应用安全测试使用简明
Appscan网站扫描, appscan,安全工具使用步骤,appscan操作步骤
Rational AppScan(简称 AppScan)其实是一个产品家族,包括众多的应用安全扫描产品,从开发阶段的源代码扫描的 AppScan source edition,到针对 Web 应用进行快速扫描的 AppScan standard edition,以及进行安全...
Rational AppScan 可自动化 Web 应用的安全漏洞评估工作,能扫描和检测所有常见的 Web 应用安全漏洞,例如 SQL 注入(SQL-injection)、跨站点脚本攻击(cross-site s cripting)、缓冲区溢出(buffer overflow)及...
WEB安全检测AppScan用户中文指南