系统安全漏洞及解决方案
1.XSS跨站脚本攻击漏洞
URL:: http://XXXX
实体: msg (Parameter)
风险: 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查 看或变更用户记录以及执行事务
原因: 未对用户输入正确执行危险字符清理
固定值: 查看危险字符注入的可能解决方案
解决方法:
设置X-XSS-Protection头,其中3个值对应的含义
0: 表示关闭浏览器的XSS防护机制
1:删除检测到的恶意代码, 如果响应报文中没有看到X-XSS-Protection 字段,那么浏览器就认为X-XSS-Protection配置为1,这是浏览器的默认设置
1; mode=block:如果检测到恶意代码,在不渲染恶意代码
2.bash未打补丁
URL:: http://XXXX
实体: bonusplan (Page)
风险: 可能会在 Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容
原因: Web 站点上安装了没有已知补丁且易受攻击的第三方软件
固定值: 应用适合您的 Bash 版本的补丁
查看Linux是否有漏洞:
env x='() { :;}; echo vulnerable' bash -c "echo this is a test"
如果输出 this is a test --表示没漏洞
输出:
vulnerable
this is a test ---表示有漏洞
解决方法一:安装对应的bash补丁
Linux下先查看bash版本,命令 bash -version
然后下载对应的bash补丁,如:bash_4.2.tar.gz
解压补丁,然后编译bash文件。
./configure
make
方法二:缓解 shellshock 漏洞
手动安装,参考https://access.redhat.com/articles/1212303
系统安全漏洞及解决方案相关推荐
- 高并发处理方案_高并发系统下的缓存解决方案
什么样的数据适合做缓存? 缓存和DB数据一致性在之前已讲过,详细可参考下面阅读推荐<如何保障mysql和redis之间的数据一致性>,我们这里讲一讲缓存穿透.缓存雪崩和击穿的三种场景解决方 ...
- dz论坛去掉orum.php,DiscuzX3.4最新论坛漏洞修复解决方案
原标题:DiscuzX3.4最新论坛漏洞修复解决方案 Discuz!论坛目前最新版本为3.4版本,已经好久没有更新了,我们SINE安全在对其网站安全检测的同时发现一处漏洞,该漏洞可导致论坛的后台文件可 ...
- ZStack实践汇 | 虚拟化软件漏洞和解决方案
概况 本文主要比较了主流虚拟机虚拟层(KVM,ESX,Hyper-V和Xen)中的安全功能和常见漏洞,并分析了安全趋势.然后,对虚拟化软件的常见威胁进行了分类,并讨论其影响.最后,对于解决虚拟化软 ...
- Java开发常见漏洞及解决方案
文章目录 1.健康监控Actuator暴露端口 2.SSRF漏洞攻击 3.富文本XSS攻击 4.暴力破解短信验证码登录 5.恶意短信轰炸骚扰用户 6.低版本Fastjson导致RCE漏洞 7.SQL注 ...
- 系统安全漏洞成云安全主威胁
中国信息通信研究院今天发布的<云计算白皮书(2016年)>指出,物理设施故障和系统安全漏洞成为云安全的最主要威胁. <白皮书>分析,由于云服务商数据中心资源的规模化和集中化,数 ...
- ubuntu系统下用kazam软件录制的视频不能在windows系统下播放的解决方案
ubuntu系统下用kazam软件录制的视频不能在windows系统下播放的解决方案 参考文章: (1)ubuntu系统下用kazam软件录制的视频不能在windows系统下播放的解决方案 (2)ht ...
- 99.99%安卓手机存在系统安全漏洞
当前,移动支付使手机成为方便快捷的第一钱包. 有数据显示,去年我国使用手机支付的用户规模增长迅速,达到4.69亿人,年增长率为31.2%,手机网上支付的使用比例由57.7%提升至67.5%. 的确,3 ...
- 【技术人快报】美军计划换用Linux系统+安卓系统“克隆漏洞”曝光
2018年01月11日 星期四 [技术人快报181期] 导读:美军计划换用Linux系统+安卓系统"克隆漏洞"曝光 [每日一句] 努力做一个可爱的人.不埋怨谁,不嘲笑谁,也不羡慕谁 ...
- 安卓系统曝漏洞!有人可能正在用你的手机秘密拍照
近日,谷歌.三星等制造商生产的安卓手机,被曝出系统存在严重安全漏洞.黑客能够在未经手机机主许可的情况下,操控安卓手机秘密拍摄照片.录制音视频并上传. 利用漏洞 "恶意应用程序"拍照 ...
最新文章
- IDEA Properties中文unicode转码问题
- element ui分页怎么做_elementUI实现分页
- 利用smarty生成静态页的关键代码
- NewLife.Net——管道处理器解决粘包
- 2019牛客暑期多校训练营(第八场)
- JS快速实现深拷贝--一行就搞定了
- 进程间通信(匿名管道)
- 【Pytorch神经网络理论篇】 29 图卷积模型的缺陷+弥补方案
- 初始化java工具失败,“初始化 Java 工具”期间发生了内部错误, java.lang.NullPointerException...
- DevExpress WPF v19.1新版亮点:PDF Viewer等控件新功能
- linux 软件安装命令
- 培训落差感,一切以不传授技能为主的培训都是耍流氓
- ubuntu下安装FoxitReader pdf阅读器
- 第十三届蓝桥杯模拟赛第二期JAVA组个人题解
- Python写入和读取Excel表格数据
- ACC算法学习笔记(六):ASPICE开发流程
- 695N开发调试总结
- /etc/sysconfig/network 文件
- BZOJ 2448: 挖油-区间DP+单调队列
- phpexcel导出大量数据合并单元格_PHPExcel处理一个单元格内多条数据拆分成多个单元格多条数据...
热门文章
- java贝叶斯_贝叶斯算法Java实现
- udec采场开挖教程_UDEC_数值模拟(入门学习)
- EOFError: marshal data too short
- 回溯算法:从电影蝴蝶效应中学习回溯算法的核心思想
- HTML - CSS - JavaScript
- 春季儿童吃什么有助于长高,3款适合孩子长高的食谱做法,学起来
- 计算机学院优秀主讲教师评选细则,徐州工程学院优秀主讲教师评选办法 徐工院行教[2015]35号...
- WebLogic(12C)——WLST
- ArcMap基础操作——去除影像背景值
- P2P之UDP穿透NAT的原理与实现 - 增强篇(附修改过的源代码)