关于网站扫描到的几种漏洞及处理办法
来源:互联网 发布:淘宝客佣金5元怎么设置 编辑:程序博客网 时间:2024/05/18 02:10
1. Apache JServ protocol service漏洞
问题出在Tomcat的8009端口,错误的提示是8009端口上运行着tcp协议。
解决办法:只能是通过关闭8009端口来实现,但是关闭端口之后对Tomcat有影响,目前还没有找到好的解决办法。
2. HTML form without CSRF protection
问题出在表单提交没有保护,可以伪造一个表单进行提交。
解决办法:在提交表单的jsp界面产生一个随机数,把这个随机数放到session中传递,同时也放到form表单中以input的方式传递(注意这里要把input的type类型设置为hidden,并且一定要放在提交按钮之前),然后在后台,对比从前台传递的参数和从session中获得参数,如果不一致,说明是伪造的表单。拒绝访问。
3. Slow Http Denial of Service Attack
问题出在http头部的限定长度过大,攻击者可以通过链接服务器之后,缓慢的发送数据来保持持续链接,这样来控制它的最大并发量。
解决办法:修改Tomcat的server.xml的8080端口,把里面的connectionTimeout=”20000”修改成connectionTimeout=”8000”,问题解决,但不确定对程序有无影响,目前来看没发现有其他影响。还可以修改http头部的大小限制,因为已经解决问题,就没有再去修改头部大小。
4. User cerdentials are sent in clear text
问题表现是说表单中的数据一明文的形式传递,但是扫描到的这两个都是在表单中用post的方式传递,没有找到解决此漏洞的方法。有解决这个问题的办法,请告诉我,感激不尽。
5. Application error message 和 Error message on page
问题出在程序出现500错误时,有关服务器的问题,会展现在浏览器的页面上Tomcat的路径,这样就会把服务器的路径暴露在攻击者面前。
解决办法:当出现500错误时,自定义界面。在Tomcat的web.xml里,最下面也就是</web-app>之前添加如下内容
<error-page>
<error-code>500</error-code>
<location>/error500.html</location>
</error-page>
然后,在在程序的web-inf下面新建一个error500.html,自定义当出现500错误时的界面。
这是工作过程中解决问题时的积累,如果对你有帮助,倍感荣幸,有什么问题我们可以留言交流。
- 关于网站扫描到的几种漏洞及处理办法
- fortify 漏洞扫描的几种解决方式
- 做网站的几种办法
- 常用的网站漏洞扫描工具
- 网站漏洞扫描工具
- 网站漏洞扫描工具
- 网站漏洞扫描工具
- WVS扫描网站漏洞
- 网站漏洞扫描工具
- nikto扫描网站漏洞
- 网站漏洞扫描工具
- HTTP漏洞处理办法
- Acunetix 网站漏洞扫描软件 检测您网站的安全性。
- 网站漏洞扫描工具Uniscan
- 处理asp.net 页面参数的几种办法
- 谈一谈几种处理 JavaScript 异步操作的办法
- 谈一谈几种处理JavaScript异步操作的办法
- 谈一谈几种处理JavaScript异步操作的办法
- 2016China Final 二分 UVALive7900(D)
- java 打印
- oracle数据库使用时间作为查询条件时的写法
- Linex新手常用命令
- MySQL高可用在网易的最佳应用与实践
- 关于网站扫描到的几种漏洞及处理办法
- HDU
- StateMachine状态机初识
- html的disabled属性
- Cube HDU
- Git查看提交历史、Git标签
- 利用spring实现特定时间后取消订单
- ORACLE 安全访问策略VPD与ORA-28132
- SpannableString 处理文本样式的利器