常见的漏洞处理方式
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1.将当前的WEB服务升级到最高版本。
数据库升级到最稳定的本版。
如:Tomcat 升级到当前最稳定的版本。
根据项目实际情况:如WCM项目用tomcat7最稳定则升级到tomcat7最稳定版本7.0.104。
2.根据TRS拓尔思的fix文档手册进行升级。
如WCM需要升级到WCM7fix408版本。
3.常见的跨站攻击问题:
http://action路径+?searchword=
如
前端去除特殊字符即可:
function replaceStr(value) {
var pattern = new RegExp("[!@%^&*()+='\\[\\]<>/?\\\\]")
var result = "";
if (value == null || value == '' || typeof(value) == undefined) {
return result;
}else{
for (var i = 0; i < value.length; i++) {
result = result + value.substr(i, 1).replace(pattern, "");
}
return result;
}
}
后台如果如用的TRSServer
1. 摘自Server手册,TRS检索表达式中有四类语法符号:
1. 第一类符号:‘(’、‘)’、‘[’、‘]’、‘,’、‘/’、‘@’、‘=’、‘>’、‘<’、‘!’、‘&’、‘*’、‘^’、‘-’、‘+’。
2. 第二类符号:‘ADJ’、‘EQU’、‘PRE’、‘AND’、‘XOR’、‘NOT’、‘OR’、‘TO’、insert ,select ,delete ,update , sleep , like ,空格、函数名。
3. 第三类符号:模糊匹配符‘%’、‘?’。
4. 第四类符号:单引号‘’’和转义符‘\’。
import java.util.ArrayList;
import java.util.List;
import java.util.regex.Matcher;
import java.util.regex.Pattern;
import ng3.StringUtils;
/**
* 请求参数特殊字符处理
*
* @param paramValue
* @return
*/
@SuppressWarnings({ "deprecation" })
public static String handleParamString(String paramValue) {
StringBuilder sb=new StringBuilder("");
if(StringUtils.isNotBlank(paramValue)){
sb = new StringBuilder(paramValue);
String regEx = "[!#@%^&*()+=',\\[\\]<>/?\\\\]";
paramValue.replaceAll(regEx, "");
Pattern p = pile(regEx);
Matcher m = p.matcher(paramValue);
int count = 0;
List
while (m.find()) {
count++;
list.add(m.start());
}
for (int i = list.size() - 1; i >= 0; i--) {
sb.insert(list.get(i), "\\");
}
//第二类+ "-"
String[] second = new String[]{" ADJ ", " EQU ", " PRE ", " AND ", " XOR ", " NOT ", " OR ", " TO "," at "," and "," exec "," insert "," select "," delete "," update "," sleep "," like "};
for (String seStr : second) {
if (sb.toString().toLowerCase().contains(seStr.toLowerCase())) {
int i = sb.toString().toLowerCase().indexOf(seStr.toLowerCase());
sb.insert(i + 1, "\\");
}
}
//“-”
if (sb.toString().indexOf("-") != -1) {
return sb.toString().replace("-", "\\-");
}
}
return sb.toString();
}
4.TRACE,PUT,DELETE,OPTIONS 请求漏洞
4.Snoop Servlet 信息泄露
删除WEB服务下的不必要的文件.
如:Tomcat的webapps下的docs、examples、host-manager、manager、ROOT
5.未授权访问漏洞
增加拦截器和过滤器,控制项目登录后才能访问页面即可