漏洞扫描系列总结
Posted wuyachal
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞扫描系列总结相关的知识,希望对你有一定的参考价值。
最近,客户那边返回的漏洞好多啊,我都好无力啊。好悲催,幸好有健哥的指导,我才能跨过死结!这里做一个小总结
漏洞三大特点:xss跨站,sql注入,上传漏洞
处理xss最好的办法是 实体化用户提交的数据 过滤的话一旦被绕过就会导致漏洞出现
最好的修复办法是实体化用户能控制的输出点
我们的处理是过滤器,过滤器里对所有链接过来的数据参数进行过滤,js,sql,html都进行过滤
values[i] = StringEscapeUtils.escapeSql(values[i]);//sql转义//values[i] = StringEscapeUtils.escapejavascript(values[i]);//js转义values[i] = JavaScriptUtils.javaScriptEscape(values[i]);values[i] = HtmlUtils.htmlEscape(values[i]);//html转义
还有一个是密码明文传输漏洞,我想说这个。。没办法,客户是上帝,还是得做,尽管是不痛不痒的漏洞,还是得处理。
处理是提交前把用户密码禁用,不让显示浏览器下的form data
以上是关于漏洞扫描系列总结的主要内容,如果未能解决你的问题,请参考以下文章
安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段