javaWeb安全验证漏洞修复总结_java文件上传漏洞修复方案,java文件上传漏洞修复资源-CSDN文库

漏洞修复

需积分: 50 106 浏览量 2014-08-26 17:28:29 上传评论收藏 271KB DOC 举报

资源详情

资源评论

EMA 服务管理平台二期扩容安全验收

漏洞修复总结

2011 年 5 月

                     中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结
目  录
WEB 安全介绍............................................................................................................................. 1
SQL 注入、盲注........................................................................................................................... 1
1  SQL 注入、盲注概述...................................................................................................................1
2  安全风险及原因..........................................................................................................................2
3  APPSCAN 扫描建议..........................................................................................................................2
4  应用程序解决方案......................................................................................................................4
会话标识未更新.......................................................................................................................... 7
1  会话标识未更新概述..................................................................................................................7
2  安全风险及原因分析..................................................................................................................8
3  APPSCAN 扫描建议..........................................................................................................................8
4  应用程序解决方案......................................................................................................................8
已解密登录请求.......................................................................................................................... 9
1  已解密登录请求概述..................................................................................................................9
2  安全风险及原因分析..................................................................................................................9
3  APPSCAN 扫描建议........................................................................................................................10
4  应用程序解决方案....................................................................................................................10
跨站点请求伪造........................................................................................................................ 12
1  跨站点请求伪造概述................................................................................................................12
2  安全风险及原因分析................................................................................................................14
3  APPSCAN 扫描建议........................................................................................................................14
4  应用程序解决方案....................................................................................................................14
不充分账户封锁........................................................................................................................ 14
1  不充分账户封锁概述................................................................................................................14
2  安全风险及原因分析................................................................................................................15
3  APPSCAN 扫描建议........................................................................................................................15
4  应用程序解决方案....................................................................................................................15
启用不安全 HTTP 方法............................................................................................................... 16
1  启用不安全 HTTP 方法概述......................................................................................................16
2  安全风险及原因分析................................................................................................................16
3  APPSCAN 扫描建议........................................................................................................................16
4  应用程序解决方案....................................................................................................................17
HTTP 注释敏感信息................................................................................................................... 17
1  HTTP 注释敏感信息概述...........................................................................................................17
2  安全风险及原因分析................................................................................................................18
3  APPSCAN 扫描建议........................................................................................................................18
 - i - 

                     中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结
4  应用程序解决方案....................................................................................................................18
发现电子邮件地址模式............................................................................................................. 18
1  发现电子邮件地址模式概述....................................................................................................18
2  安全风险及原因分析................................................................................................................18
3  APPSCAN 扫描建议........................................................................................................................19
4  应用程序解决方案....................................................................................................................19
通过框架钓鱼.......................................................................................................................... 22
1  通过框架钓鱼概述..................................................................................................................22
2  安全风险及原因分析..............................................................................................................22
3  APPSCAN 扫描建议......................................................................................................................22
4  应用程序解决方案..................................................................................................................25
检查到文件替代版本............................................................................................................... 27
1  检查到文件替代版本概述......................................................................................................27
2  安全风险及原因分析..............................................................................................................27
3  APPSCAN 扫描建议......................................................................................................................27
4  应用程序解决方案..................................................................................................................28
 - ii - 

中国电信 EMA 服务管理平台二期扩容安全验收漏洞修复总结

1 Web 安全介绍

　目前很多业务都依赖于互联网，例如说网上银行、网络购物、网游等，很

多恶意攻击者出于不良的目的对 Web 服务器进行攻击，想方设法通过各种

手段获取他人的个人账户信息谋取利益。正是因为这样，Web 业务平台最容

易遭受攻击。同时，对 Web 服务器的攻击也可以说是形形色色、种类繁多，

常见的有挂马、SQL 注入、缓冲区溢出、嗅探、利用 IIS 等针对

Webserver 漏洞进行攻击。

　　一方面，由于 TCP/IP 的设计是没有考虑安全问题的，这使得在网络上

传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进程

缓冲区溢出，攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来

运行任意程序，甚至安装和运行恶意代码，窃取机密数据。而应用层面的软

件在开发过程中也没有过多考虑到安全的问题，这使得程序本身存在很多漏

洞，诸如缓冲区溢出、SQL 注入等等流行的应用层攻击，这些均属于在软件

研发过程中疏忽了对安全的考虑所致。

另一方面，用户对某些隐秘的东西带有强烈的好奇心，一些利用木马或

病毒程序进行攻击的攻击者，往往就利用了用户的这种好奇心理，将木马或

病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中，然后把这些

文件置于某些网站当中，再引诱用户去单击或下载运行。或者通过电子邮件

附件和 QQ、MSN 等即时聊天软件，将这些捆绑了木马或病毒的文件发送给

用户，利用用户的好奇心理引诱用户打开或运行这些文件、

2 SQL 注入、盲注

2.1 SQL 注入、盲注概述

Web 应用程序通常在后端使用数据库，以与企业数据仓库交互。查询数据

库事实上的标准语言是 SQL（各大数据库供应商都有自己的不同版本）。

Web 应用程序通常会获取用户输入（取自 HTTP 请求），将它并入 SQL 查

询中，然后发送到后端数据库。接着应用程序便处理查询结果，有时会向用户

显示结果。

如果应用程序对用户（攻击者）的输入处理不够小心，攻击者便可以利用这种

操作方式。在此情况下，攻击者可以注入恶意的数据，当该数据并入 SQL 查

询中时，就将查询的原始语法更改得面目全非。例如，如果应用程序使用用户

的输入（如用户名和密码）来查询用户帐户的数据库表，以认证用户，而攻击

者能够将恶意数据注入查询的用户名部分（和/或密码部分），查询便可能更

改成完全不同的数据复制查询，可能是修改数据库的查询，或在数据库服务器

上运行 Shell 命令的查询。

剩余30页未读，继续阅读

评论收藏

内容反馈

javaWeb安全验证漏洞修复总结

评论0

最新资源

javaWeb安全验证漏洞修复总结

评论0

最新资源

相关推荐

javaWeb安全验证漏洞修复总结终稿.pdf

JavaWeb程序代码安全漏洞处理！

安全漏洞修复

java开发常见漏洞及处理说明

java-web文件上传下载，可解决多个安全访问问题

文件下载漏洞

第四式web安全之文件上传漏洞专题.pdf

安全验证漏洞修复总结

javaWeb安全验证漏洞修复总结.doc

E027-操作系统漏洞验证及加固-MS08_067漏洞利用与安全加固.pdf

Web应用常见漏洞修复方案

javaweb配置xssproject，完美解决安全检测报XSS漏洞

javaweb安全问题解决方案

攻击JavaWeb应用1-9

MLDN魔乐JAVAWEB课堂14_WEB安全实现及config对象

JAVAWeb框架Struts2

javaWeb知识点总结

JavaWeb总结.docx

WEB开发安全漏洞修复方案

Java Web向服务器端上传文件

java-web文件上传下载demo，可解决多个安全访问问题

中国电信EMA服务管理平台二期扩容安全验收漏洞修复总结

逻辑漏洞安全技术材料总结 密码找回逻辑漏洞+ 在线支付逻辑漏洞

Android软件安全审计及漏洞修复经验谈

逻辑漏洞安全技术材料总结密码找回逻辑漏洞+ 在线支付逻辑漏洞