没有合适的资源?快使用搜索试试~ 我知道了~
WEB开发安全漏洞修复方案 (2).pdf
1.该资源内容由用户上传,如若侵权请联系客服进行举报
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
2.虚拟产品一经售出概不退款(资源遇到问题,请及时私信上传者)
版权申诉
0 下载量 137 浏览量
2022-07-14
00:53:15
上传
评论
收藏 2.27MB PDF 举报
温馨提示
试读
67页
WEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdfWEB开发安全漏洞修复方案 (2).pdf
资源推荐
资源详情
资源评论
密级:保密
文档编号:
编 写:
批 准:
WEB 开发安全漏洞修复方案
()
文档名称: WEB 开发安全漏洞修复方案
审 核:
批准日期:
技术研究部
11
文档修订记录
编号 版本号 修订内容简述 修订日期 作者 审核
1 初稿 2012-7
6
7
8
9
10
11
12
13
14
22
15
16
33
() ....................................................................................................................................................1
1.1 背景................................................................................................................................1
1.2 FSDP 安全漏洞清单.......................................................................................................1
1.3 安全漏洞修复方案........................................................................................................1
1.3.1 会话标识未更新 ...............................................................................................1
1.3.2 已解密的登录请求 ...........................................................................................4
1.3.3 通过框架钓鱼 .................................................................................................11
1.3.4 链接注入(便于跨站请求伪造) .................................................................18
1.3.5 应用程序错误 .................................................................................................26
1.3.6 SQL 注入 ..........................................................................................................29
1.3.7 发现数据库错误模式 .....................................................................................40
1.3.8 启用了不安全的 HTTP 方法 ...........................................................................51
1.3.9 发现电子邮件地址模式 .................................................................................54
1.3.10 HTML 注释敏感信息泄露 ................................................................................54
1.3.11 发现内部 IP 泄露模式 ...................................................................................55
1.3.12 主机允许从任何域进行 flash 访问 .............................................................56
1.3.13 主机应用软件漏洞修复 .................................................................................57
1.3.14 目录列表 .........................................................................................................58
1.3.15 跨站点请求伪造 .............................................................................................59
1.1 需要注意的问题..........................................................................................................60
1.2 用户锁定解锁功能......................................................................................................60
44
1.1 背景
随着移动公司对信息安全的进一步加强,要求我们部署的系统必须满足安全扫描要求。
本文档描述了安徽移动对FSDP安全扫描的漏洞的解决方案,并作为WEB开发的安全编程规范。
1.2 FSDP 安全漏洞清单
见《WEB 开发安全漏洞清单.xlsx》
1.3 安全漏洞修复方案
1.3.1 会话标识未更新
(一)
(二)
URL
安全问题描述
根据WASC:“会话固定”是一种攻击技术,会强制用户的会话标识变成显式值。固定会
话标识值的技术有许多种,会随着目标Web 站点的功能而不同。从利用“跨站点脚本编
制”到向Web 站点密集发出先前生成的HTTP 请求,都在这些技术范围内。用户的会话标识固
定之后,攻击者会等待用户登录,然后利用预定义的会话标识值来假定用户的联机身份。
(三) 攻击方法
登录过程前后会话标识的比较,显示它们并未更新,这表示有可能伪装用户。初步得知
会话标识值后,远程攻击者有可能得以充当已登录的合法用户。
任何时候,只要一名用户与应用程序的交互状态由匿名转变为确认,应用程序就应该发
布一个新的会话令牌。这不仅适用于用户成功登录的情况,而且适用于匿名用户首次提交个
人或其他敏感信息时。
(四) 安全规范要求
COOKIE 中的登陆前 JSESSIONID 与登陆后 JESSIONID 不能相同。(只有 J2EE 应用服务器
为 JESSIONID,其他应用服务器可能不同)
(五) 解决方案
将如下代码加入到登陆页面()的最后行:
<%
11
剩余66页未读,继续阅读
资源评论
G11176593
- 粉丝: 6643
- 资源: 3万+
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 微软常用运行库 游戏运行库 VC++各个版本
- 微信小程序开发教程.pptx
- MyBatis动态SQL是一种强大的特性,它允许我们在SQL语句中根据条件动态地添加或删除某些部分,从而实现更加灵活和高效的数据
- 锐捷网络认证中心网络管理.pdf
- MyBatis动态SQL是一种强大的特性,它允许我们在SQL语句中根据条件动态地添加或删除某些部分,从而实现更加灵活和高效的数据
- SD8233LF是一款用于单按键触摸及接近感应开关,其用途是替代传统的机械型开关芯片IC
- 基于YOLOv5的烟雾火焰检测算法研究
- 基于STM32的联合调试侦听设备解决方案原理图PCB源文件调试工具视频(大赛作品)
- MyBatis动态SQL是一种强大的特性,它允许我们在SQL语句中根据条件动态地添加或删除某些部分,从而实现更加灵活和高效的数据
- MyBatis动态SQL是一种强大的特性,它允许我们在SQL语句中根据条件动态地添加或删除某些部分,从而实现更加灵活和高效的数据
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功