没有合适的资源?快使用搜索试试~ 我知道了~
资源推荐
资源详情
资源评论
代码审计 Forfity 常见扫描
漏洞原理与修复意见介绍
1
目录
1. 系统信息泄漏(System Information Leak) ...................................................................4
1.1 漏洞原理及危害介绍 ............................................................................................4
1.1 解决办法 ................................................................................................................4
2. Insecure Randomness(不安全的随机数) ....................................................................4
2.1 漏洞原理及危害介绍 ............................................................................................4
2.2 修复建议 ................................................................................................................5
3. 任意文件上传漏洞 ...........................................................................................................5
3.1 漏洞原理及危害介绍 ............................................................................................5
3.2 修复建议 ................................................................................................................5
4. 源代码泄露漏洞 ...............................................................................................................5
4.1 漏洞原理及危害介绍 ............................................................................................5
4.2 修复建议 ................................................................................................................5
5. SVN 库发现漏洞................................................................................................................6
5.1 漏洞原理及危害介绍 ............................................................................................6
5.2 修复建议 ................................................................................................................6
6. SQL 注入............................................................................................................................6
6.1 漏洞原理及危害介绍 ............................................................................................6
6.2 修复建议 ................................................................................................................6
7. 跨站脚本攻击漏洞 ...........................................................................................................7
7.1 漏洞原理及危害介绍 ............................................................................................7
7.2 修复建议 ................................................................................................................7
8. 任意文件下载漏洞 ...........................................................................................................8
8.1 漏洞原理及危害介绍 ............................................................................................8
8.2 修复建议 ................................................................................................................8
9. URL 跳转漏洞....................................................................................................................9
9.1 漏洞原理及危害介绍 ............................................................................................9
9.2 修复建议 ................................................................................................................9
10. 启用了不安全的 HTTP 方法.............................................................................................9
10.1 漏洞原理及危害介绍 ............................................................................................9
10.2 修复建议 ................................................................................................................9
2
11. 直接访问管理页面漏洞 ...................................................................................................9
11.1 漏洞原理及危害介绍 ..................................................................................................9
11.2 修复建议 ......................................................................................................................9
12. Flash 参数 AllowScriptAccess 已设置为 always 漏洞 ................................................10
12.1 漏洞原理及危害介绍 ................................................................................................10
12.2 修复建议 ....................................................................................................................10
13. 命令注入 .........................................................................................................................10
13.1 漏洞原理及危害介绍 ................................................................................................10
13.2 修复建议 ....................................................................................................................11
14. HTTP 响应截断................................................................................................................12
14.1 漏洞原理及危害 ........................................................................................................12
14.2 修复建议 ....................................................................................................................13
15. 硬编码密码 .....................................................................................................................14
15.1 漏洞原理及危害 ........................................................................................................14
15.2 修复建议....................................................................................................................14
16. 在配置文件中使用明文密码 .........................................................................................14
16.1 漏洞原理及危害介绍 ................................................................................................14
16.2 修复建议 ....................................................................................................................14
17. 弱加密漏洞 .....................................................................................................................19
17.1 漏洞原理及危害 ........................................................................................................19
17.2 修复建议 ....................................................................................................................20
18. 不安全的哈希算法漏洞 .................................................................................................21
18.1 漏洞原理及危害 ........................................................................................................21
18.2 修复建议 .....................................................................................................................21
19. XML 注入.........................................................................................................................22
19.1 漏洞原理及危害 ........................................................................................................22
19.2 修复建议 ....................................................................................................................23
20. 路径遍历 .........................................................................................................................23
20.1 漏洞原理及危害 ........................................................................................................23
20.2 修复建议 ....................................................................................................................24
21. XML 外部实体注入 .........................................................................................................24
3
21.1 漏洞原理及危害 ........................................................................................................24
21.2 修复建议 ....................................................................................................................25
22. 动态代码解析 .................................................................................................................27
22.1 漏洞原理及危害 ........................................................................................................27
22.2 修复建议 ....................................................................................................................27
23. 使用存在已知漏洞的组件 .............................................................................................27
23.1 漏洞原理及危害 ........................................................................................................27
23.2 修复建议 ....................................................................................................................27
4
1. 系统信息泄漏(System Information Leak)
1.1 漏洞原理及危害介绍
当系统数据或调试信息通过输出流或者日志功能流出程序时,就会发生信息
泄漏。
1.1 解决办法
个人认为如果没必要输出或是记入日志的系统信心就简单 print.write("系统
出错");就行了,当然如果这样做了系统真的出错对维护来说确实是个困难。看
下面两段代码:
[java] view plain copy
</pre><pre name="code"
class="java">out.println("("+exception.getMessage()+")");
print.write(errorMessage);
根据选定屏幕的配置,此信息可转储到屏幕,也可以直接发送到打印机。在
某些情况下,版本信息正好可以准确地告诉攻击者入侵此系统的可能性有多大。
同样,错误消息也可以告诉攻击者入侵此系统的可能性究竟有多大。例如,一个
数据库错误消息可以揭示应用程序容易受到 SQL Injection 攻击。其他的错误消
息可以揭示有关该系统的更多间接线索。
2. Insecure Randomness(不安全的随机数)
2.1 漏洞原理及危害介绍
不安全的随机数:电脑是一种具有确定性的机器,因此不可能产生真正的随
机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种
子。PRNG 包括两种类型:统计学的 PRNG 和密码学的 PRNG。统计学的 PRNG
可提供有用的统计资料,但其输出结果很容易预测,因此数据流容易复制。若安
全性取决于生成数值的不可预测性,则此类型不适用。密码学的 PRNG 通过可
产生较难预测的输出结果来应对这一问题。为了使加密数值更为安全,必须使攻
击者根本无法、或极不可能将它与真实的随机数加以区分。通常情况下,如果并
未声明 PRNG 算法带有加密保护,那么它有可能就是一个统计学的 PRNG,不
应在对安全性要求较高的环境中使用,其中随着它的使用可能会导致严重的漏洞
(如易于猜测的密码、可预测的加密密钥、会话劫持攻击和 DNS 欺骗)。
剩余27页未读,继续阅读
资源评论
sec2024
- 粉丝: 4
- 资源: 34
上传资源 快速赚钱
- 我的内容管理 展开
- 我的资源 快来上传第一个资源
- 我的收益 登录查看自己的收益
- 我的积分 登录查看自己的积分
- 我的C币 登录后查看C币余额
- 我的收藏
- 我的下载
- 下载帮助
最新资源
- 农村信用社联合社计算机信息系统投产与变更管理办.docx
- 农村信用社联合社计算机信息系统数据管理办法.docx
- 利用SPSS作临床效度分析线上计算网站介绍-医学研究部统计谘.(医学PPT课件).ppt
- 利用Zabbix监控mysqldump定时备份数据库状态.docx
- 利用计算机解决问题的基本过程.doc
- 化工铁路通信工程总结.doc
- 北京大学网络教育软件工程作业.docx
- 医药公司(连锁店)计算机操作规程未新系统的自行按照旧制修改-新系统过制的编号加修模版.doc
- 医药公司(连锁店)计算机系统操作规程模版.doc
- 医药连锁门店计算机系统的操作和管理程序未新系统的自行按照旧制修改-新系统过制的编号加修模版.docx
资源上传下载、课程学习等过程中有任何疑问或建议,欢迎提出宝贵意见哦~我们会及时处理!
点击此处反馈
安全验证
文档复制为VIP权益,开通VIP直接复制
信息提交成功