- 浏览: 914054 次
- 性别:
- 来自: 北京
文章分类
- 全部博客 (498)
- J2EE (52)
- 数据库 (17)
- java基础 (43)
- web技术 (19)
- 程序设计 (6)
- 操作系统 (18)
- IT资讯 (7)
- 我的IT生活 (12)
- 学习笔记 (9)
- Jquery (25)
- JavaScript (18)
- spring (40)
- Hibernate (12)
- Struts (10)
- YUI (2)
- Extjs (22)
- .net (0)
- Eclipse (10)
- 社会主义 (2)
- 服务器 (9)
- CSS (8)
- 网络安全 (16)
- 版本控制 (9)
- PHP (2)
- Oracle (42)
- SQL server (1)
- Mysql (11)
- 项目管理 (3)
- 开发工具使用 (10)
- SQL语句 (7)
- Perl (0)
- Shell (6)
- 漏洞 (4)
- ibatis (5)
- hacker (2)
- SQL注入 (6)
- Hacker工具 (2)
- 入侵和渗透 (7)
- 插件/组件 (2)
- 最爱开源 (5)
- 常用软件 (2)
- DOS (1)
- HTML (2)
- Android (9)
- CMS (1)
- portal (8)
- Linux (7)
- OSGI (1)
- Mina (5)
- maven (2)
- hadoop (7)
- twitter storm (2)
- sap hana (0)
- OAuth (0)
- RESTful (1)
- Nginx (4)
- flex (1)
- Dubbo (1)
- redis (1)
- springMVC (1)
- node.js (1)
- solr (2)
- Flume (1)
- MongoDB (2)
- ElasticSearch (1)
最新评论
-
M_drm:
请问要怎么设置浏览器才不报没权限呢?
用JS在页面调用本地可执行文件的方法(ACTIVEX) -
Alexniver:
官方文档。When importing data into I ...
mysql导入数据过慢 解决方法 -
camelwoo:
我记得 Criteria 可以做连接查询与子查询,也可以做分页 ...
Hibernate总结篇二 -
zhenglongfei:
楼主如果SubKeyName 这个节点不存在,怎么办??怎么用 ...
Java操作注册表 -
yxx676229549:
用log4j 2 了
logback
首先简单描述一下系统情况:采用的技术struts1.2,EJB3.0,另外公司以前封装了一套jsp标签;应用服务器jboss4.0.2;数据库为SQL Server2005。
目前我还有2类问题还没有解决—1:会话标识未更新
2:发现数据库错误模式
希望有解决过此类问题的大虾们,能给予一点帮助!
在此先行谢过!!
系统将近验收的时候,对方发过来一份安全报告- -我们开发的系统有安全漏洞,让我们把漏洞级别为严重的全部解决,否者不予验收。对于这些问题,公司其它项目组包括我都没有人曾经做过(也就是说系统从开始打框架到后来的开发过程没有任何人注意这些问题)。此时脑海浮现一句较为经典的网语“内事问baidu,外事问google…”。经过几天的搜索,简单描述一下我对以下几个安全问题的理解:
1 发现数据库错误模式:主要是一些数据连接错误信息,通过提交特殊构造的字符,程序会暴露一些数据库信息,也容易引起SQL注入攻击。
2 会话标识未更新:是cookies过期时间未设置,可能会引发一些cookies欺骗攻击。
3 跨站点请求伪造:这个是高级攻击技术,是黑客作为中间人攻击,这个漏洞是程序造成的,在不同的会话中两次发送同一请求并且收到相同的响应,也就是说客户端与服务端建立连接后,客户端向服务端提交数据,服务端只认客户端需要什么而返回什么内容给客户端,并没有对客户端的身份进行认证。
4 不充分帐户封锁:程序没有使用锁定功能,可以穷举密码。
5 跨站点脚本编制:实际翻译应该是跨站脚本攻击。也就是XSS,是服务端没有对客户端提交的参数进行过滤,例如:2009>%22%27><img%20src%3d%22javascript:alert(473443)%22>,这个就会弹出一个窗口,还可以弹出其他页面,或者做页面跳转等攻击,通常攻击者用来挂马。
6 SQL 盲注也是要对参数进行过滤,包括危险字符,‘,;@,==,而且通过cookies提交的值也要进行过滤。
以下内容是我解决这些问题的过程
首先找了个IBM Rational AppScan 7.8的破解版装上
(一) 既然http访问有问题安全,那么我换个安全点的https试了试,结果发现严重级别的没有减少,反而严重程度为一般的倒是增加了好几类,晕!(jboss4.0.2配置https服务的步骤在压缩文件里面)
(二) 对于sql盲注有一下2种情况
1:http://172.16.200.219:9090/project/projectmemberaction.do (2)
code
name
2:http://172.16.200.219:9090/system/orgbaseinfoaction .do (3)
TcnSystemOrgDto.code
TcnSystemOrgDto.fullname
TcnSystemOrgDto.addrss
[(2)(3)分别表示该链接下面漏洞注入的个数]
我针对安全扫描的提示,逐个修改了对数据库列表及查询的操作,使其全部采用prepareStatement预编译的方式。因为系统涉及到的页面太多,对于用户输入框的过滤就不可能一个一个的去修改,因此我写了个filter(见附件)
做完这些之后,再继续扫描,发现第1种注入问题已经解决,然而第2种问题依旧,而且每次扫描的链接还不一样,正在苦恼之际看到CSDN上有个如下的帖子
彻底杜绝SQL注入
1.不要使用sa用户连接数据库
2、新建一个public权限数据库用户,并用这个用户访问数据库
3、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限
4、[用户]用户名称-> 右键-属性-权限-在sysobjects与syscolumns上面打“×”
其原文见如下路径 http://topic.csdn.net/u/20091221/18/6693545C-A659-4E3B-9454-EBB77D6C8D1F.html
至此,SQl盲注问题就已经解决。(前面的那个过滤器是否多余?这个问题还没来得及验证)
(三) 对于XSS问题,网上给的意见同样是过滤用户的输入。系统都在验收的阶段,哪有时间对输入框去做限制呢!同样写个filter(代码见附件)
(四) 对于不充分的账户封锁
我在登录页面加了一个验证码,在扫描的时候,发现appscan无法扫描,原来在这个工具有个地方设置为自动登录,我加上验证码后,Appscan无法流畅的运行,于是固定了登录action中关于验证的参数。这个问题就没有出现,奇怪???我屏蔽了验证参数的比较,因而页面验证码输入框只是一个摆设,这个问题怎么就没有了呢??
至此,我遇到的安全问题还有2类没有解决
一个是会话标识未更新,这个问题出现的地方是在登录的链接(附件有图片)
我试过在登录的login.jsp页面加上session="false"
1:<%@ page contentType="text/html; charset=GBK" language="java" session="false"%>
在系统登录过程中也没有操作cookie,而且系统其他的地方也没有操作cookie,在登录的时候我设置了cookies[i].setMaxAge(1800);也没有任何作用。
2:在jboss\server\default\deploy\jbossweb-tomcat55.sar\context.xml
修改其配置为<Context cookies="false">在登录的过程中确实没有创建名为JSEESION的cookie,但是“会话标识未更新”这个问题依然存在!!
是我的方法不对吗?还是我根本没有理解“会话标识未跟新”的意思?
另外一个未解决的安全问题是发现数据库错误模式,这个问题出现在另外一个系统,该系统采用Struts2+ Hibernate3开发
目前我还有2类问题还没有解决—1:会话标识未更新
2:发现数据库错误模式
希望有解决过此类问题的大虾们,能给予一点帮助!
在此先行谢过!!
系统将近验收的时候,对方发过来一份安全报告- -我们开发的系统有安全漏洞,让我们把漏洞级别为严重的全部解决,否者不予验收。对于这些问题,公司其它项目组包括我都没有人曾经做过(也就是说系统从开始打框架到后来的开发过程没有任何人注意这些问题)。此时脑海浮现一句较为经典的网语“内事问baidu,外事问google…”。经过几天的搜索,简单描述一下我对以下几个安全问题的理解:
1 发现数据库错误模式:主要是一些数据连接错误信息,通过提交特殊构造的字符,程序会暴露一些数据库信息,也容易引起SQL注入攻击。
2 会话标识未更新:是cookies过期时间未设置,可能会引发一些cookies欺骗攻击。
3 跨站点请求伪造:这个是高级攻击技术,是黑客作为中间人攻击,这个漏洞是程序造成的,在不同的会话中两次发送同一请求并且收到相同的响应,也就是说客户端与服务端建立连接后,客户端向服务端提交数据,服务端只认客户端需要什么而返回什么内容给客户端,并没有对客户端的身份进行认证。
4 不充分帐户封锁:程序没有使用锁定功能,可以穷举密码。
5 跨站点脚本编制:实际翻译应该是跨站脚本攻击。也就是XSS,是服务端没有对客户端提交的参数进行过滤,例如:2009>%22%27><img%20src%3d%22javascript:alert(473443)%22>,这个就会弹出一个窗口,还可以弹出其他页面,或者做页面跳转等攻击,通常攻击者用来挂马。
6 SQL 盲注也是要对参数进行过滤,包括危险字符,‘,;@,==,而且通过cookies提交的值也要进行过滤。
以下内容是我解决这些问题的过程
首先找了个IBM Rational AppScan 7.8的破解版装上
(一) 既然http访问有问题安全,那么我换个安全点的https试了试,结果发现严重级别的没有减少,反而严重程度为一般的倒是增加了好几类,晕!(jboss4.0.2配置https服务的步骤在压缩文件里面)
(二) 对于sql盲注有一下2种情况
1:http://172.16.200.219:9090/project/projectmemberaction.do (2)
code
name
2:http://172.16.200.219:9090/system/orgbaseinfoaction .do (3)
TcnSystemOrgDto.code
TcnSystemOrgDto.fullname
TcnSystemOrgDto.addrss
[(2)(3)分别表示该链接下面漏洞注入的个数]
我针对安全扫描的提示,逐个修改了对数据库列表及查询的操作,使其全部采用prepareStatement预编译的方式。因为系统涉及到的页面太多,对于用户输入框的过滤就不可能一个一个的去修改,因此我写了个filter(见附件)
做完这些之后,再继续扫描,发现第1种注入问题已经解决,然而第2种问题依旧,而且每次扫描的链接还不一样,正在苦恼之际看到CSDN上有个如下的帖子
彻底杜绝SQL注入
1.不要使用sa用户连接数据库
2、新建一个public权限数据库用户,并用这个用户访问数据库
3、[角色]去掉角色public对sysobjects与syscolumns对象的select访问权限
4、[用户]用户名称-> 右键-属性-权限-在sysobjects与syscolumns上面打“×”
其原文见如下路径 http://topic.csdn.net/u/20091221/18/6693545C-A659-4E3B-9454-EBB77D6C8D1F.html
至此,SQl盲注问题就已经解决。(前面的那个过滤器是否多余?这个问题还没来得及验证)
(三) 对于XSS问题,网上给的意见同样是过滤用户的输入。系统都在验收的阶段,哪有时间对输入框去做限制呢!同样写个filter(代码见附件)
(四) 对于不充分的账户封锁
我在登录页面加了一个验证码,在扫描的时候,发现appscan无法扫描,原来在这个工具有个地方设置为自动登录,我加上验证码后,Appscan无法流畅的运行,于是固定了登录action中关于验证的参数。这个问题就没有出现,奇怪???我屏蔽了验证参数的比较,因而页面验证码输入框只是一个摆设,这个问题怎么就没有了呢??
至此,我遇到的安全问题还有2类没有解决
一个是会话标识未更新,这个问题出现的地方是在登录的链接(附件有图片)
我试过在登录的login.jsp页面加上session="false"
1:<%@ page contentType="text/html; charset=GBK" language="java" session="false"%>
在系统登录过程中也没有操作cookie,而且系统其他的地方也没有操作cookie,在登录的时候我设置了cookies[i].setMaxAge(1800);也没有任何作用。
2:在jboss\server\default\deploy\jbossweb-tomcat55.sar\context.xml
修改其配置为<Context cookies="false">在登录的过程中确实没有创建名为JSEESION的cookie,但是“会话标识未更新”这个问题依然存在!!
是我的方法不对吗?还是我根本没有理解“会话标识未跟新”的意思?
另外一个未解决的安全问题是发现数据库错误模式,这个问题出现在另外一个系统,该系统采用Struts2+ Hibernate3开发
- 实例.rar (58.7 KB)
- 下载次数: 117
发表评论
-
Chrome+GoAgent+SwitchySharp教程
2012-11-26 15:15 5320Chrome+GoAgent+SwitchySharp ... -
Chrome+GoAgent+SwitchySharp教程
2012-11-26 15:15 10130一、下载安装chrome,并注册gmail邮箱 1、g ... -
如何用好 Google 搜索引擎?
2012-08-07 10:35 1615搜索引擎命令大全! 1 ... -
用java流方式判断文件类型
2012-06-28 09:50 1751原文:http://rainsilence.iteye.com ... -
进入邻居家的无线路由器
2010-06-18 15:36 2388对于一般的人来说,只顾着享受无线带来的便利,却对安全性不加重视 ... -
AJAX真的不安全?!
2010-06-18 14:39 1250前言 日前 ... -
端口扫描原理,(java)UDP端口扫描
2010-06-17 16:24 5712一个端口就是一个潜在 ... -
Resin多个远程信息泄露漏洞
2010-06-17 13:32 2088Caucho Resin多个远程信息泄露漏洞 由于我工作的原因 ... -
网络安全新手必备基础知识
2010-06-17 10:47 1152Q:网络安全新手必备基础知识 A:网络安全是指网络系统的 ... -
局域网里固定IP地址无法上网故障解决方法
2010-06-17 10:45 2344俗话说“林子大了,什么鸟都有”,当局域网的组网规模越来越大时 ... -
无线网络安全连接保护措施简介
2010-06-17 10:42 998无线网络系统如果没有 ... -
网络安全基础知识
2010-06-17 10:15 1144计算机网络的应用之一 ... -
局域网电脑互访的设置大全
2010-06-17 10:11 26981、取消默认的“简单文件共享” 双击我的电脑/工具/文件夹选项 ... -
黑客必备工具
2010-06-17 10:05 1367一 必备基本工具 1 Netcat 2 I ... -
黑客入侵网站的方法大集合(适合新手)
2010-06-17 09:32 5541常研究网站入侵。再收 ... -
如何欺骗人执行木马
2010-06-17 09:30 1148如今大多数上网的朋友 ... -
常见Web应用安全问题(1 - 4)(一)
2010-05-31 17:05 1579经过上两篇(《Web安全 ...
相关推荐
Web安全扫描工具AppScan是IBM Rational推出的一款强大的应用安全扫描软件,主要针对Web应用程序的安全检测。AppScan家族包含了多种版本,如Source Edition用于源代码安全扫描,Standard Edition用于Web应用的快速...
【安全扫描工具HCL AppScan最新版本10.0.7】是一款强大的Web应用程序安全测试解决方案,由全球知名科技公司HCL Technologies开发。这个版本带来了最新的功能和改进,旨在为用户提供更高效、全面的安全评估体验。...
IBM的AppScan是一款业界公认的安全扫描工具,主要用于检测Web应用程序的安全漏洞。AppScan 10.2.0是该系列的最新版本,经过实际测试,证明其功能强大且稳定可靠。这款工具的核心价值在于帮助开发者和安全团队在开发...
一款强大的 web安全 扫描工具,可以对网站等 Web 应用 进行自动化的 应用安全扫描和 测试。
1. **AppScan简介**:AppScan是一个全面的Web应用安全扫描工具,能够自动检测常见的安全弱点,如SQL注入、跨站脚本(XSS)、文件包含漏洞等。 2. **静态应用安全测试(SAST)**:AppScan的静态分析功能可以分析源...
- **AppScan Source Edition**:适用于开发阶段,主要用于源代码级别的安全扫描。 - **AppScan Standard Edition**:桌面版AppScan,用于快速扫描Web应用。 - **AppScan Enterprise Edition**:为企业级用户提供更高...
### 十大Web安全扫描工具知识点详述 #### 1. Nikto - **简介**:Nikto 是一款开放源代码的 Web 服务器扫描工具,它可以检测多种 Web 服务器中存在的安全漏洞,包括但不限于 3500 多个潜在危险的文件/CGI、900 多种...
在功能方面,AppScan非常全面,它支持用户登录功能,允许用户模拟实际的登录过程进行安全扫描。扫描结束后,AppScan提供详尽的报告,包括发现的漏洞类型、漏洞原理的解释、修复建议以及手动验证的方法,这对于开发...
AppScan是业界广泛认可的自动化安全扫描软件,用于发现并修复Web应用程序中的潜在安全漏洞。 首先,AppScan的工作原理基于静态代码分析和动态应用安全测试(DAST)。静态分析是在不执行代码的情况下检查源代码或...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
**AppScan 8.7:服务器安全扫描利器** AppScan 8.7 是一款专业的服务器安全扫描工具,专为确保企业服务器的安全性而设计。它提供了全面的分析功能,能够帮助系统管理员检测并修复潜在的安全漏洞,从而保护服务器免...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
IBM Rational AppScan是对 Web 应用和 Web Services 进行自动化安全扫描的黑盒工具,它不但可以简化企业发现和修复 Web 应用安全隐患的过程(因为这些工作,以往都是由人工进行,成本相对较高,但是效率却非常低下),...
Web 安全扫描工具综述 在 Web 应用程序安全中,扫描工具扮演着至关重要的角色。黑客经常会寻找 Web 页面的漏洞,作为攻击的入口。为了防止这种情况的发生,需要使用扫描工具来检测和修复这些漏洞。下面将对十大 Web...
**Appscan**是一款功能强大的自动化Web应用安全扫描工具,主要用于识别Web应用程序中的安全漏洞。它通过模拟攻击者的行为,对目标Web应用程序进行全面的漏洞扫描,帮助开发人员和安全团队识别潜在的安全风险。 ####...
总结来说,AppScan的手动探索模式虽然比全面自动扫描更为耗时,但它提供了更高的定制性和深度,能够发现更多潜在的安全问题。而在实际应用中,测试团队应根据项目需求和时间限制,灵活选择合适的扫描方式,以达到...