政务公开系统专栏首页的跨站攻击漏洞

最新推荐文章于 2025-05-09 10:58:16 发布
转载 最新推荐文章于 2025-05-09 10:58:16 发布 · 145 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/liwp_Stephen/archive/2008/08/04/1260154.html
文章标签:

#操作系统 #java

本文介绍了在一次系统扫描中发现的跨站攻击漏洞及其原因,分析了错误页面显示错误堆栈导致的问题,并提供了两种解决方案。

概述

     前段时间,顺义区对我们的专栏系统进行了扫描,扫描出了几个漏洞,大部分是因为我们使用了默认配置,没有对一些安全选项进行设置。比如jmx-console、web-console等的默认不用密码就能登录,查看系统配置等。还有就是普元的EOS配置的项目中有一个axis和axis2两个Web模块,这两个模块中都有一个happyaxis.jsp的页面,这两个页面也会显示系统的配置信息。这些错误只需要将对应的页面删掉,或者去掉这些web模块就可以了。一个比较明显的漏洞就是跨站攻击的漏洞。

问题分析

     这个跨站攻击的漏洞是访问一个地址,参数中包含了一些js脚本,因为参数错误,会转到错误页面,在错误页面中执行了对应的js脚本。

     原来在EOS的错误页面中会显示错误信息,将错误堆栈都显示出来了。这个错误信息客户早就提出来说应该更友好一些,我们考虑的也就是把错误信息隐藏起来,开始想的是为了方便开发人员获得错误信息,加了一个按钮“显示详细错误信息”,点击该该按钮,显示错误错误堆栈。

     这个错误堆栈是通过普元的eos:error标签显示的,后来发现是因为这个标签没有对输出的内容进行过滤,而是直接将错误内容显示在页面上,而造成了跨站攻击的错误,形成现象如下:

     在输入参数中有一个值的后面被加上了如下代码:<img%20src%3D%26%23x6a;%26%23x61;%26%23x76;%26%23x61;%26%23x73;%26%23x63;%26%23x72;%26%23x69;%26%23x70;%26%23x74;%26%23x3a;alert(27944)>

     在错误提示页面中会提示输入的某个参数值是xxx(其中包含了上面的脚本),因此在页面上就执行alert脚本了。

解决方案

     要解决该问题有两个解决方案:

     1. 在错误页面上只提示系统发生了错误,而不要将错误信息显示出来。

     2. 改造普元的eos:error标签,将异常信息进行过滤。

          2.1 普元公司改造自己的标签

          2.2 扩展普元的标签,用自己的标签来替换

     因为发生错误都是通过分析日志,而且客户看到错误信息根本没用,因此我们选中了第一个解决方案。

经验总结

     使用自定义标签或者编写servlet往页面上输出内容的时候,不能直接将某些变量的值直接输出到out中,而应该对内容进行过滤,然后输出到页面上。

转载于:https://www.cnblogs.com/liwp_Stephen/archive/2008/08/04/1260154.html

【信息系统项目管理师-选择真题】2009上半年综合知识答案和详解
数据知道的博客
01-28 5994
1、安全审计是保障计算机系统安全的重要手段之一,其作用不包括(‍ )。A、检测对系统的入侵‍ ‍ ‍ ‍ ‍ ‍ ‍ ‍ ‍ ‍ ‍ ‍ ‍ ‍ ‍ ‍ B、发现计算机的滥用情况 C、发现系统入侵行为和潜在的漏洞‍ ‍ ‍ ‍ D、保证可信网络内部信息不外泄【答案】D2-3、网络安全包含了网络信息的可用性、保密性、完整性和真实性。防范 Dos 攻击是提高(2‍ )的 措施,数字签名是保证(3‍ ‍ )的措施。【疑问题】(2)A、可用性‍ ‍ ‍ ‍ B、保密性‍ ‍ ‍ ‍ C、完整性‍ ‍ ‍ ‍ D、真
计算机网络基础:量子通信技术在网络中的应用前景
热门推荐
优快云博客专家,系统架构师,有合作、疑惑请私信博主。
03-27 1万+
计算机网络基础:量子通信技术在网络中的应用前景,在信息技术飞速发展的今天,网络已经成为人们生活和社会运转不可或缺的一部分。随着数据量的爆发式增长以及对信息安全需求的不断提升,传统通信技术在某些方面逐渐显露出局限性。量子通信技术作为一种基于量子力学原理的新型通信方式,因其具有绝对安全性、超高通信速率等独特优势,为网络通信领域带来了新的曙光。它不仅有望解决当前网络通信中面临的安全困境,还可能在诸多领域引发革命性的变革。本文将深入探讨量子通信技术的原理、特点,并详细分析其在网络中的应用前景。
如何对使用了Axis组件的Java项目进行漏洞利用
lynnez_dd的博客
03-07 1584
近期发现一个高级的漏洞利用姿势——对使用了axis组件的Java项目进行远程命令执行。 IDEA+JavaWeb项目(servlet)+axis-bin-1_4.tar.gz+freemarker-2.3.8.jar+阿里云服务器 一、在本地使用IDEA搭建一个简单的JavaWeb项目 1、GitHub下载一个简单的JavaWeb项目CustomerManagement 2、在阿里云上开启一个Tomcat8的docker,将项目文件传输至Tomcat容器中 将项目的CustomerManageme
webservice安全_Web 安全测试之信息泄漏测试
weixin_39774445的博客
12-11 1085
随着因特网的不断发展,人们对网络的使用越来越频繁,通过网络进行购物、支付等其他业务操作。而一个潜在的问题是网络的安全性如何保证,一些黑客利用站点安全性的漏洞来窃取用户的信息,使用户的个人信息泄漏,所以站点的安全性变得很重要。Web 系统的安全性测试包括以下内容:(1)Web 漏洞扫描(2)服务器端信息测试(3)文件和目录测试(4)认证测试(5)会话管理测试(6)权限管理测试(7)文件上传下载测试(...
AXIS实现Web服务深入篇
liumyong的专栏
12-13 1820
本文主要介绍使用service方式实现Web服务、复杂类型参数或者返回值以及面向消息/文档的服务类型,同时还会简单提及Web服务的会话管理以及安全问题等等。前段时间我的一篇文章《应用AXIS开始Web服务之旅》介绍了如何通过AXIS这个项目来实现Web服务的功能。该文章主要介绍AXIS的结构、如何使用jws文件的方式开发一个简单的Web服务,并用了比较大的篇幅来介绍Web服务的客户端编程,应该
php源代码被公开漏洞,dede目录列表漏洞_页面存在源代码泄露_发现源码泄露
weixin_30990387的博客
03-09 572
之前在安全联盟站长平台用检查了一下自己的网,发现了自己的网站有一堆漏洞(页面存在源代码泄露)。如图:然后在百度site的时候也现实中危提示,看起来很不爽,你要知道,自己维护的网站,还出现一个危险提示的网站,别人看到了都不敢跟你换友情链接了。而且我们主管也经常问我,这是怎么回事,但不管我怎么找,都找不出原因,没办法啊,我上论坛,百度,上QQ群都得到满意的答案,上了安全联盟站长论坛去,里面都是要奖赏的...
webservice学习之AXIS初学笔记--环境配置
nkliming的专栏
08-04 1504
最近由于实验室的需要,我要做一个类似于webservice功能的eclipse插件,由于之前没接触过webservice,所以,只好从头学起了。看到webservice框架之AXIS时,就想搭建环境试一下。我的配置环境:Eclipse 3.6.2+tomcat6.0+AXIS-1_4。配置过程如下: 1.登录http://labs.mop.com/apache-mirror/ws/axis/1_
政策标准、行业动态、安全事件、密码专栏、三所发布、国家互联网中心安全周报。
2401_84434570的博客
08-05 832
为贯彻落实《数字中国建设整体布局规划》工作部署,摸清数据资源底数,加快数据资源开发利用,更好发挥数据要素价值,国家数据局、中央网络安全和信息化委员会办公室、工业和信息化部、公安部联合开展全国数据资源情况调查,调研各单位数据资源生产存储、流通交易、开发利用、安全等情况,为相关政策制定、试点示范等工作提供数据支持。按照委员会标准制修订工作程序的要求,17项网络安全国家标准的立项工作已经完成,现将清单印发给各工作组,请按照国家标准委和委员会相关规定,认真做好项目的指导工作,监督好各项目的实施进度。
大数据领域数据架构的安全防护体系优化与升级
最新发布
AI天才研究院
05-09 695
随着企业数字化转型加速,数据已成为核心生产要素。据IDC预测,2025年全球数据总量将达175 ZB,其中80%为非结构化数据。然而,数据泄露事件逐年攀升(2023年Verizon数据泄露调查报告显示,61%的企业遭遇过数据泄露),传统安全防护手段在面对分布式数据湖、多云架构、实时数据流等新型数据架构时逐渐失效。本文聚焦大数据架构中数据全生命周期安全风险,提出从架构设计到技术落地的端到端优化方案,涵盖数据采集安全、存储加密、访问控制、合规审计、隐私保护等核心领域。剖析数据架构安全核心概念及风险模型。
信息安全法律法规与国家政策(1)
2302_76241188的博客
01-23 2170
国家相继发布了多个重要的网络安全法案和法规,以《数据安全法》《个信息保护法》《中华人民共和国网络安全法》等为基础的多项政策法规逐步落地实施,我国的网络安全法律体系逐步在完善,信息安全工作也越来越有法可依,有据可查,这些都为互联网的发展和保护提供了重要的法律支撑。
Java安全之Axis漏洞分析
weixin_45032957的博客
11-26 3472
0x01 漏洞复现# 漏洞版本:axis=<1.4 Axis1.4 freemarker 下载Axis包1.4版本将Axis放到tomcat的webapp目录中。freemarker.jar放到Axis的 lib目录下。运行tomcat即可。 WEB-INF/web.xml 中将该配置取消注释 AdminServlet /servlet/AdminServlet 原创复现需要将/WEB-INF下面的server-config.wsdd文件中的内容进行编辑一下
(CVE-2019-0227)Axis<=1.4 远程命令执行漏洞
weixin_50464560的博客
11-11 8259
webapps/ROOT/shell.jsp,服务模块的工作路径是bin目录,这里利用相对路径写入ROOT目录,我们默认IP+port访问的就是ROOT目录,也就是tomcat默认根目录。调用freemarker组件中的template.utility.Execute类,远程利用AdminService接口进行WebService发布,再次访问生成的WebService接口,传入要执行的命令,就可以进行远程命令执行漏洞的利用。
利用AXIS开发Webservice(一) —— 如何发布自己的webservice
09-26 453
       因为工作关系需要从事Webservice的开发工作,公司的webserivce是由Apache的AXIS来实现的,以前对这个了解不算多,不过经过几天的研究,特奉上小小的心得一篇。         先介绍下本人开发环境吧。 JDK 1.4.2 + Myeclipse 6.0(实在经不起诱惑,尝尝鲜) + Tomcat 5.0.28 + AXIS 1.4。 AXIS 1.4包可以在htt...
软件测试之消息泄漏测试
weixin_42686892的博客
01-12 3460
软件测试之消息泄漏测试   消息泄漏测试主要是测试系统泄露敏感信息的风险。敏感信息包括数据库连接地址、账号和口令等信息,服务器系统信息,Web 服务器软件名称、版本,Web 网站路径,除html 之外的源代码,业务敏感数据等。   主要包括以下几方面内容:   数据库账号密码测试。   客户端源代码敏感信息测试。   客户端源代码注释内容测试。   异常测试。   不安全的存储测试。   Web 服务器状态信息测试。   HappyAxis.jsp 页面测试。   (1)数据库账号密
Axis2的具体使用
crurtyx的专栏
08-31 502
为了搞个Web Services,让我真是煞费苦心.还好最后用到了axis,在axis上发布Web Services是一件很轻松的事情.甚至不做配置的情况下都可以采用即时发布.就象JSP的发布 安装axis需要Servlet容器,我用的是Tomcat-5.0.28,下载To
利用Axis2默认口令安全漏洞可入侵WebService网站
weixin_33850015的博客
10-12 2161
利用Axis2默认口令安全漏洞可入侵WebService网站 近期,在乌云上关注了几则利用Axis2默认口令进行渗透测试的案例,大家的渗透思路基本一致,利用的技术工具也大致相同,我在总结这几则案例的基础之上进行了技术思路的拓展。 乌云Axis2默认口令安全弱点利用案例: 航空安全之四川航空某系统漏洞导致Getshell(影响内网60多台主机安全\目测已被其他人渗透过) 乐信通某服务器axis2服务...
利用Axis2默认口令安全漏洞入侵WebService网站
weixin_33736832的博客
02-14 3047
近期,在黑吧安全网上关注了几则利用Axis2默认口令进行渗透测试的案例,大家的渗透思路基本一致,利用的技术工具也大致相同,我在总结这几则案例的基础之上进行了技术思路的拓展。黑吧安全网Axis2默认口令安全弱点利用案例:航空安全之四川航空某系统漏洞导致Getshell(影响内网60多台主机安全\目测已被其他人渗透过)乐信通某服务器axis2服务存在弱口令可上传webshell(root权限)中国科学...
政务公开政务服务系统管理员操作指南
政务公开政务服务系统管理员手册是一份由西安未来国际信息股份有限公司于2012年6月发布的专业文档,针对政务公开政务服务系统的管理操作提供详细指南。这份手册主要关注的是政务公开管理子系统,它涵盖了系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值