渗透测试——安全漏洞修复解决方案Java版 (持续更新中20210527)

最新推荐文章于 2024-08-28 15:48:14 发布
最新推荐文章于 2024-08-28 15:48:14 发布
阅读量1.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全漏洞 文章标签: 安全漏洞 java 渗透测试 jsp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_39233618/article/details/117331382

渗透测试——安全漏洞修复解决方案Java版 (持续更新中20210527)

项目背景描述

背景: 由于公司的项目上线需要符合安全标准。为平滑支撑项目业务上的持续发展,通过咨询和技术的手段推动信息安全的深入,通过渗透测试挖掘潜在问题,保障业务不会受到恶意攻击,从而提高核心化的信息竞争力。对本项目进行了渗透测试。测试结果存在的漏洞包括:

  • 敏感信息泄露
  • 未授权访问
  • 越权访问(水平越权和垂直越权)
  • 请求重放
  • url中含有回话令牌
  • XSS跨站脚本攻击
  • CSRF跨站请求伪造
  • 短信轰炸
  • 短信验证码暴力破解
  • 用户可枚举
  • jQuery版本漏洞

下面将记录对以上几个类型的漏洞的修复的具体方案,持续更新(上班划水)…

项目没有申请HTTPS证书,几乎是从零开始搭建的,初始设计只是为了尽可能完成业务开发,犯了接口没有统一规范等毛病,可以说是安全问题中的几个大类全都踩坑了一遍→_→。

项目: 本项目主要是基于JSP+Servlet+SSM架构开发的小型Java项目。定义为面向兼容Android和IOS的各款手机的页面开发,对开发者而言:一次编写,各端运行;一套代码,套个壳子跨平台,所以项目中有不少的对接原生安卓的接口与调用,目前这里不作详细描述。

敏感信息泄露

漏洞描述

  1. 暴露用户名和明文密码;
  2. 请求响应报文中包含了完整的sql语句,暴露了详细数据库表的信息。
  3. 暴露了隐藏的登录页面
  4. 敏感数据包括不限于:口令、密钥、证书、会话标识、License、隐私数据(如短消息内容)、授权凭据、个人数据(如姓名、住址、电话等)等,在程序文件、配置文件、日志文件、备份文件及数据库中都有可能包含敏感数据

通用解决方案

  1. 需要加密账号密码、手机号等敏感信息;
  2. 删除详细的报错信息,用统一模糊提示代替错误信息
  3. 删除非必要的页面,减小攻击面

修复过程
总而言之就是,项目所有接口都没有经过加密,请求与响应的数据都是明文传输,请求可能被截获导致数据泄露。
考虑到整个项目组开发统一原则,采用AES加密的方式对前后端数据传输(Base64编码)、接口对接Android客户端(字节流)进行加解密。
下面给出详细Demo与修复注意事项

有时间再更新20210527。。。

C#软件安全性测试的渗透艺术——深入挖掘代码中的隐藏漏洞
墨夶的博客
01-24 827
在当今数字化的世界里,软件安全成为了开发者们不可忽视的重要议题。随着网络攻击手段日益复杂,传统的安全措施往往难以抵御那些精心设计的威胁。对于使用C#构建的应用程序而言,进行专业的渗透测试不仅能够帮助我们识别潜在的安全隐患,更能通过模拟真实的攻击场景来验证现有防御机制的有效性。本文将带您深入了解如何利用C#开展高效的渗透测试,揭示那些可能被忽视的安全死角,并提供详尽的技术细节与最佳实践指南。
渗透测试入门—— 常见术语概述
weixin_46694260的博客
12-26 9599
00x1 前言 刚入门小白,收集了一些渗透术语,废话不多说。 00x2 渗透术语 1.脚本 动态网站(如:asp,php,jsp), linux, python 2.网站 2.1静态网站:与后台交互比较少,如html) 2.2动态网站:使用动态脚本编写 如:asp,php,jsp,交互方便但是安全性不高,如果代码过滤不严格可能会导致漏洞最终导致后台linux被别人随意操作 3.http协议 http(HyperText Transfer Protocol),超文本传输协议。是因特网上应用最为广泛的一种网络传
java开发的cms系统源码-Penetration-Testing:令人敬畏的渗透测试资源、工具和其他闪亮事物的列表
06-05
java开发的cms系统源码令人敬畏的渗透测试 一组很棒的渗透测试资源 在线资源 渗透测试资源 - 免费的进攻性安全 Metasploit 课程 - 渗透测试执行标准 - 打开 Web 应用程序安全项目 - 面向渗透测试人员/研究人员的免费在线安全知识库。 - 渗透测试框架。 - PTF 尝试安装您所有的渗透测试工具(最新的和最好的),编译它们,构建它们,并制作它以便您可以在任何机器上安装/更新您的发行。 一切都以与渗透测试执行标准 (PTES) 一致的方式组织,并消除了许多几乎不使用的东西。 开发利用 - 关于如何编写 shellcode 的教程 - Shellcodes 数据库 - 关于如何开发漏洞的教程 - 新一代漏洞利用开发工具包 - 黑客的黑客调试器用户界面 社会工程资源 - 社会工程师的信息资源 开锁资源 - 开锁视频和安全会谈 - 学习开锁、设备推荐​​的资源。 工具 渗透测试分布 - 专为数字取证和渗透测试而设计的 Linux 发行 - 面向安全专业人士和爱好者的 Arch Linux 存储库 - 面向渗透测试人员和安全研究人员的基于 Arch Linux 的发行
渗透测试-java
12-14 499
渗透测试_Java代码审计 参考 https://www.cnblogs.com/youyouii/archive/2018/11/24/10013946.html
java压力渗透测试,java debug 渗透测试
weixin_30490029的博客
03-12 228
http://blog.silentsignal.eu/2014/02/09/jdb-tricks-hacking-java-debug-wire/http://pki.fedoraproject.org/wiki/Debugging_Dogtaghttp://wiki.jerrypeng.me/source-notes-jetty.htmlJDWP Arbitrary Java Code Exe...
java网站渗透测试_如何进行Web渗透测试
weixin_39859819的博客
02-26 1788
Web渗透测试可以从以下几个方面考虑:1.SQL Injection(SQL注入)(1)如何进行SQL注入测试?首先找到带有参数传递的URL页面,如 搜索页面,登录页面,提交评论页面等等.注1:对 于未明显标识在URL中传递参数的,可以通过查看HTML源代码中的"FORM"标签来辨别是否还有参数传递.在 和的标签中间的每一个参数传递都有可能被利用.Gamefinder注 2:当你找不到有输入行为的...
Java转网络安全渗透测试,挖漏洞真香啊
liuhyusb的博客
07-06 1006
渗透测试这名字听起来有一种敬畏感,给人一种很难的感觉。渗透测试 (penetration test) 并没有一个标准的定义,一些安全组织达成共识的通用说法是:渗透测试是通过模拟恶意黑客的攻击方法,来评估计算机网络系统安全的一种评估方法。简而言之:渗透测试就是测试软件的安全性。渗透测试执行标准[1] 介绍了做渗透测试的 7 个步骤:测试前交互。这步主要确定的是测试范围,哪些测试行为是禁止的。情报收集。这步主要收集目标尽可能多的信息。威胁建模。这步主要了解目标潜在的威胁。
网络安全售前入门05安全服务——渗透测试服务方案
打工人
08-28 2073
渗透性测试是对安全情况最客观、最直接的评估方式,主要是模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,目的是侵入系统,获取系统控制权并将入侵的过程和细节产生报告给用户,由此证实用户系统所存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略。渗透性测试是工具扫描和人工评估的重要补充。工具扫描具有很好的效率和速度,但是存在一定的误报率,不能发现高层次、复杂的安全问题;
基于智能手机的近源渗透案例分享——“点到为止”的测试某网络安全公司 .pdf
09-05
【基于智能手机的近源渗透案例】揭示了网络安全领域的一个重要问题,即物联网设备与智能设备在带来便利的同时,也可能成为安全漏洞的来源。本文通过一个实际案例,展示了如何利用智能手机进行近源渗透测试,以此警示...
个人笔记-渗透测试-逻辑漏洞的分类与使用情景
weixin_48162696的博客
06-03 1479
逻辑漏洞的举例,相关检查,及防御措施
WEB开发安全漏洞修复方案
05-22
1.1 背景 1 1.2 FSDP安全漏洞清单 1 1.3 安全漏洞修复方案 1 1.3.1 会话标识未更新 1 1.3.2 登录错误消息凭证枚举 2 1.3.3 不充分帐户封锁 2 1.3.4 跨站点脚本编制 3 1.3.5 已解密的登录请求 6 1.3.6 跨站点脚本编制 9 1.3.7 通过框架钓鱼 13 1.3.8 链接注入(便于跨站请求伪造) 18 1.3.9 应用程序错误 25 1.3.10 SQL注入 29 1.3.11 发现数据库错误模式 38 1.3.12 启用了不安全的HTTP方法 48 1.3.13 发现电子邮件地址模式 50 1.3.14 HTML注释敏感信息泄露 51 1.3.15 发现内部IP泄露模式 52 1.3.16 主机允许从任何域进行flash访问 53 1.3.17 主机应用软件漏洞修复 53 1.3.18 目录列表 54 1.3.19 跨站点请求伪造 55 1.1 需要注意的问题 56
Java 系语言测试覆盖率的解决方案
mfmfmfo的博客
08-27 670
开源工具:remote-debug-agent,wiki 中也有对测试覆盖率的详细说明。https://github.com/uniquetruth/remote-debug-agent首先要做一些 限定 说明仅限 Java 或其它 JVM 系语言。因为测试覆盖率跟具体的编程语言密切相关,我也只对 JVM 系的语言有研究,如果您想看别的语言的解决方案,还得另寻高明。只讨论后端程序的覆盖率。适用集成测试。...
Java学习过程中遇到的BUG及解决方法
MrShen1的博客
04-19 601
Java开发中遇到的BUG及其解决方法
java 框架 漏洞 修补_最新Java安全修补程序中发现的另一个漏洞
06-29 206
在上周末,Oracle终于对Java SE中的安全漏洞感到越来越消极的压力,发布了旨在解决所有未解决问题的紧急补丁。 尽管几乎无法弥补几个月来无视安全研究人员的警告,但它至少使( 像我们这样的 )批评家感到沉默,他们担心在被定于10月的下一次安全更新之前它会被忽略。 不幸的是,看来这还不够。 Security Explorations的Adam Gowdiak上周透露Oracle自4月份以来...
Java】代码中的安全漏洞解决合集(更新中)
纯码农的博客
03-01 1601
汝之观览,吾之幸也!本文主要讲解Java的一些安全漏洞,并且给出浅知的解决方案
Java利用拦截器处理XSS漏洞
sunon_的博客
04-29 3588
Java利用拦截器处理XSS漏洞 当应用程序的新网页中包含不受信任的、未经恰当验证或转义的数据时,或者 使用可以创建 HTML 或 JavaScript 的浏览器 API 更新现有的网页时,就会出 现 XSS 缺陷。XSS 让攻击者能够在受害者的浏览器中执行脚本,并劫持用户 会话、破坏网站或将用户重定向到恶意站点。 在表单提交或者 url 参数传递前,对需要的参数进行过滤; 2.过滤用户输入的 检查用户输入的内容中是否有非法内容。如<>(尖括号)、” (引号)、 ‘(单引号)、%(百分比符号
java修复xss漏洞
weixin_43876557的博客
07-29 3755
JAVA修复XSS漏洞 方案一: 对于请求中是封装好的对象或者以属性名作为参数的都适用以下解决方案: 封装好的对象,如: 使用属性名作为参数,如: 以/updateRole和/addRole作为例子,这两个方法中都需要对前台输入的参数进行过滤。 1.添加过滤器 import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConf
Java编码安全漏洞之:跨站
weixin_34378045的博客
03-21 3000
2019独角兽企业重金招聘Python工程师标准>>> ...
java xss漏洞修复_java – 如何修复XSS漏洞
weixin_39608301的博客
02-24 991
我们正在使用fortify扫描java源代码&它抱怨下面的错误:Method abc() sends unvalidated data to a web browser on line 200, which can result in the browser executing malicious code.我们在第200行的代码下面:Product和Util.java下面的getProd...
渗透测试和安全测试
最新发布
03-15
### 渗透测试与安全测试的区别 #### 1. **定义** 渗透测试是一种模拟真实攻击者行为的技术评估活动,旨在发现目标系统的潜在漏洞并验证其可利用性[^2]。而安全测试则是一个更广泛的术语,涵盖了多种技术和方法来识别软件或系统中的安全隐患。 #### 2. **目的** 渗透测试的主要目的是通过模拟黑客攻击的方式,检测和验证系统中存在的高危漏洞,并提供修复建议[^3]。相比之下,安全测试的目标更为广泛,不仅关注已知漏洞的检测,还包括合规性检查、安全性配置审查等多方面内容。 #### 3. **范围** 渗透测试通常聚焦于特定环境下的深入分析,例如 Web 应用程序、网络基础设施或其他关键资产的安全状况评估。它往往涉及更高层次的社会工程学尝试和技术手段的应用。相反,安全测试覆盖整个开发生命周期内的各个层面,从代码审计到运行时监控都有所涉猎[^4]。 #### 4. **执行方式** - **渗透测试**: 需要具备较强实战经验的专业人员操作复杂工具完成任务,如 Metasploit Framework 或 Burp Suite Pro 等高级框架。 - **安全测试**: 可能依赖自动化扫描仪快速查找常见缺陷,同时也支持手动复查重要区域,但整体难度低于前者。 #### 5. **输出结果** 两者都会生成详细的报告文档供利益相关方审阅决策之用。不过,在渗透测试中,除了列举发现的问题外,还会重现入侵路径展示实际风险程度;而在常规意义上的安全评测里,则更多强调预防措施指导方针而非具体演示危害场景再现过程。 --- ### 方法论对比 | 方面 | 渗透测试 | 安全测试 | |--------------|---------------------------------------------------------------------------------------------|-----------------------------------------------------------------------------------------| | 主动性 | 更加主动,模仿恶意用户的行动模式 | 较被动,主要依据既定标准进行核查 | | 技术深度 | 要求深入了解操作系统原理、编程语言特性及其相互作用 | 基础层面上的功能性和结构性检验 | | 时间投入 | 执行周期较长,因为需要精心策划每一步骤 | 相对较短时间即可得出结论 | --- ### 使用工具列表比较 对于渗透测试而言,常用的工具有但不限于以下几种: ```bash nmap -sV --script=vuln scanme.nmap.org ``` 上述命令展示了如何运用 NMAP 进行本探测以及漏洞脚本扫描的一个简单例子[^1]。 而对于一般性的安全测评工作来说,静态应用安全测试(SAST) 和动态应用安全测试(DAST) 平台显得尤为重要: - SAST 工具像 Fortify Source Code Analyzer 就可以直接嵌入开发环境中去捕捉源码里的隐患; - DAST 解决方案例如 Acunetix 则侧重外部视角下网页交互过程中可能出现的数据泄露或者注入类威胁监测。 --- ### 实施流程差异 尽管二者都遵循类似的逻辑链条——即先搜集基本信息再逐步推进直至最后撰写总结材料上传达给管理层知晓情况进展,但在细节处理上存在明显区别: - **渗透测试** 的各阶段更加细化且充满挑战性,特别是在后期提权与驻留控制节点建立等方面尤为突出。 - **安全测试** 往往按照预定计划表严格执行各项指标考核项目清单上的条款规定,相对机械化一些。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值