漏洞修复说明1

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了漏洞修复说明1相关的知识,希望对你有一定的参考价值。

修复操作中漏洞一般可分为应用逻辑类漏洞/应用技术类漏洞/应用相关服务漏洞/其他服务漏洞。

 

对于web应用本身存在的SQL等技术性漏洞和各类逻辑漏洞,由于应用是自己或厂商开发的要修复一般是直接修改代码完成修复

漏洞类型 说明 发现手段 修复方法
应用逻辑类漏洞 登录使用前端跳转,使攻击者可越权登录 手工探测,扫描器一般不能发现 修改代码解决
应用技术型漏洞 SQL注入漏洞等 手工探测,web扫描器 安全狗等WAF/修改代码
应用相关服务漏洞 中间件和数据库等应用直接使用的服务 系统漏洞扫描器 隐藏版本号/软件内白名单/防火墙白名单
其他服务漏洞 SSH/vsftpd等辅助服务器运维的服务 系统漏洞扫描器 隐藏版本号/防火墙白名单/升级新版

 

 

 

 

 

应用类漏洞,由于应用是自己开发或厂商维护的,所以应用逻辑类和技术类漏洞一般直接修改代码。

应用相关的服务漏洞,在生产上一点的不兼容就可能造成服务运行出错,所以一般使用隐藏版本号/白名单等不影响服务的操作,而不采用打补丁甚至升级等操作。

其他服务漏洞,出错也不会影响应用实在不行卸载再重装也行,所以一般使用直接升级新版的操作。

隐藏版本号操作并没有真正解决问题,也就是说攻击者如果真用exp去攻击那么一样是会成功的;只是由于扫描器只是根据版本号判断漏洞是否存在,所以隐藏版本号还是在相当程度上增强了服务的安全性,虽然可能更现实的作用是通过上线检查。

以上是关于漏洞修复说明1的主要内容,如果未能解决你的问题,请参考以下文章

Oracle WebLogic中间件最新漏洞修复补丁以及修复方案说明(2019.7)

OPTIONS 漏洞修复

magento < 1.9 xss 漏洞修复说明

请教openSSH J-PAKE授权问题漏洞如何修复

openssh漏洞怎么修复 windows

安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段