javaWeb安全验证漏洞修复总结.doc资源-CSDN文库

76 浏览量 2022-11-29 19:53:39 上传评论收藏 229KB DOC 举报

资源推荐

资源详情

资源评论

web 系统漏洞修复总结

2011 年 5 月

中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结

- i -

1 WEB 安全介绍.........................................................................................................................1

2 SQL 注入、盲注 ......................................................................................................................1

2.1 SQL 注入、盲注概述.................................................................................................................1

2.2 安全风险及原因 ...................................................................................................................2

2.3 APPSCAN 扫描建议 ......................................................................................................................2

2.4 应用程序解决方案 ...............................................................................................................4

3 会话标识未更新......................................................................................................................7

3.1 会话标识未更新概述 ...........................................................................................................7

3.2 安全风险及原因分析 ...........................................................................................................7

3.3 APPSCAN 扫描建议 ......................................................................................................................8

3.4 应用程序解决方案 ...............................................................................................................8

4 已解密登录请求......................................................................................................................8

4.1 已解密登录请求概述 ...........................................................................................................8

4.2 安全风险及原因分析 ...........................................................................................................8

4.3 APPSCAN 扫描建议 ......................................................................................................................9

4.4 应用程序解决方案 ...............................................................................................................9

5 跨站点请求伪造....................................................................................................................11

5.1 跨站点请求伪造概述 .........................................................................................................11

5.2 安全风险及原因分析 .........................................................................................................12

5.3 APPSCAN 扫描建议 ....................................................................................................................12

5.4 应用程序解决方案 .............................................................................................................12

6 不充分账户封锁....................................................................................................................13

6.1 不充分账户封锁概述 .........................................................................................................13

6.2 安全风险及原因分析 .........................................................................................................13

6.3 APPSCAN 扫描建议 ....................................................................................................................13

6.4 应用程序解决方案 .............................................................................................................13

7 启用不安全 HTTP 方法 ..........................................................................................................14

7.1 启用不安全 HTTP 方法概述 ...............................................................................................14

7.2 安全风险及原因分析 .........................................................................................................14

7.3 APPSCAN 扫描建议 ....................................................................................................................15

7.4 应用程序解决方案 .............................................................................................................15

8 HTTP 注释敏感信息...............................................................................................................16

8.1 HTTP 注释敏感信息概述.........................................................................................................16

8.2 安全风险及原因分析 .........................................................................................................16

8.3 APPSCAN 扫描建议 ....................................................................................................................16

8.4 应用程序解决方案 .............................................................................................................16

9 发现电子邮件地址模式.........................................................................................................16

中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结

- ii -

9.1 发现电子邮件地址模式概述 .............................................................................................16

9.2 安全风险及原因分析 .........................................................................................................17

9.3 APPSCAN 扫描建议 ....................................................................................................................17

9.4 应用程序解决方案 .............................................................................................................17

10 通过框架钓鱼........................................................................................................................20

10.1 通过框架钓鱼概述 .............................................................................................................20

10.2 安全风险及原因分析 .........................................................................................................20

10.3 APPSCAN 扫描建议 ...............................................................................................................20

10.4 应用程序解决方案 .............................................................................................................23

11 检查到文件替代版本 ............................................................................................................25

11.1 检查到文件替代版本概述 .................................................................................................25

11.2 安全风险及原因分析 .........................................................................................................25

11.3 APPSCAN 扫描建议 ...............................................................................................................25

11.4 应用程序解决方案 .............................................................................................................26

中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结

1 Web 安全介绍

　目前很多业务都依赖于互联网，例如说网上银行、网络购物、网游等，

很多恶意攻击者出于不良的目的对 Web 服务器进行攻击，想方设法通过各

种手段获取他人的个人账户信息谋取利益。正是因为这样，Web 业务平台最

容易遭受攻击。同时，对 Web 服务器的攻击也可以说是形形色色、种类繁

多，常见的有挂马、SQL 注入、缓冲区溢出、嗅探、利用 IIS 等针对 Webserver

漏洞进行攻击。

　　一方面，由于 TCP/IP 的设计是没有考虑安全问题的，这使得在网络上

传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进

程缓冲区溢出，攻击者可能获得或者提升自己在有漏洞的系统上的用户权

限来运行任意程序，甚至安装和运行恶意代码，窃取机密数据。而应用层

面的软件在开发过程中也没有过多考虑到安全的问题，这使得程序本身存

在很多漏洞，诸如缓冲区溢出、SQL 注入等等流行的应用层攻击，这些均属

于在软件研发过程中疏忽了对安全的考虑所致。

另一方面，用户对某些隐秘的东西带有强烈的好奇心，一些利用木马

或病毒程序进行攻击的攻击者，往往就利用了用户的这种好奇心理，将木

马或病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中，然后

把这些文件置于某些网站当中，再引诱用户去单击或下载运行。或者通过

电子邮件附件和 QQ、MSN 等即时聊天软件，将这些捆绑了木马或病毒的文

件发送给用户，利用用户的好奇心理引诱用户打开或运行这些文件、

2 SQL 注入、盲注

2.1 SQL 注入、盲注概述

Web 应用程序通常在后端使用数据库，以与企业数据仓库交互。查询数据库

事实上的标准语言是 SQL（各大数据库供应商都有自己的不同版本）。Web 应用

程序通常会获取用户输入（取自 HTTP 请求），将它并入 SQL 查询中，然后发送

到后端数据库。接着应用程序便处理查询结果，有时会向用户显示结果。

如果应用程序对用户（攻击者）的输入处理不够小心，攻击者便可以利用这种

操作方式。在此情况下，攻击者可以注入恶意的数据，当该数据并入 SQL 查询

中时，就将查询的原始语法更改得面目全非。例如，如果应用程序使用用户的

输入（如用户名和密码）来查询用户帐户的数据库表，以认证用户，而攻击者

能够将恶意数据注入查询的用户名部分（和/或密码部分），查询便可能更改成

剩余31页未读，继续阅读

评论收藏

内容反馈

黑色的迷迭香

粉丝: 705
资源: 4万+

javaWeb安全验证漏洞修复总结.doc

javaWeb安全验证漏洞修复总结

javaWeb安全验证漏洞修复总结终稿.pdf

javaweb网上书店系统课程设计.doc

JavaWeb图书馆管理系统DOC.doc

javaweb部署到linux-tomca.doc

JavaWeb人事管理系统开题报告.doc

javaweb简单的图书管理系统.doc

《javaweb程序设计》课程标准.doc

JavaWeb用户登录功能的实现.doc

javaweb开发的个人博客系统.doc

相关实用应用程序（Windows可用）

免费可用的ChatGPT网页版.zip

ChatGPT使用总结：150个ChatGPT提示词模板（完整版）

chromedriver-win64.zip

全国计算机二级WPSoffice精选350道选择题题库（含答案）.pdf

哈尔滨工业大学-ChatGPT调研报告-2023.3.6-94页.pdf

2023泛娱乐社交出海手册-ZEGO即构科技

4个亲测好用的ChatGPT4渠道

HAI-2024斯坦福AI指数报告（中文译版）.pdf

学术海报模板+论文科研+研究生

北森能力测评题库.zip

认知智能技术与产业研究报告2023

chrome-win64.zip

车载毫米波雷达DOA估计综述博文仿真代码

2021年全国大学生统计建模大赛优秀论文

python大作业 含爬虫、数据可视化、地图、报告、及源码（2016-2021全国各地区粮食产量）.rar

几个可以免费使用ChatGPT4的网站.zip

1000份ppt模版，PPT模板优秀PPT

ST-LINK Utility 4.6.0

最新资源

python大作业含爬虫、数据可视化、地图、报告、及源码（2016-2021全国各地区粮食产量）.rar