常见安全扫描软件web漏洞安全漏洞防护方案

1)常见安全扫描软件
2)常见web漏洞原理
3)SSL 自签名漏洞原理和解决方案
4)第三方插件漏洞原理和解决方案

1)常见安全扫描软件

HP WebInspect

Nessua

Burpsuit

appscan

绿盟

Owszap

2)常见web漏洞原理

CSRF跨站请求伪造

原因：

攻击者采用伪造的http请求，包括会话cookie/refer/token/自动填充的身份信息等，发送给web server,让web server认为是合法用户数据。

原理：

1）由于服务器端对用户的设置报文没有校验，该报文被扫描软件获取后，可以使用相同报文进行操作

2）OWZAP 和webinspect 的部分漏洞认定策略是对页面中form 表单要求显式的token控件或者refer 字段检查。如果没有对单一form进行token处理，而是在form发送的公共函数中增加token处理，导致被误报为漏洞。需要澄清或者增加对refer字段的检查来规避

反CSRF令牌扫描程序Absence of Anti-CSRF Tokens

Owszap 扫描程序针对html中form表单的扫描，发现没有显式定义token字段，一般就会上报漏洞。对于其他方式增加token校验的方案，可以增加refer检查或者cookie 检查试一下，如果仍然存在漏洞，建议澄清处理。

XSS跨站脚本攻击

原因：

由于服务器端对用户的报文没有合法性校验，在没有转义的情况下讲该报文发送给浏览器，在浏览器端执行非法操作.

扫描软件原理：该报文被扫描软件获取后，修改参数js脚本，该js脚本可以获取关键信息，如果webserver正常返回数据，扫描软件认为漏洞成立

解决方案：

在服务器端增加对报文中<script>关键字的校验

injection注入

原因：

攻击者把攻击命令作为查询数据或者配置数据的一部分发给web server, web server没有校验，直接发给sql / os 等命令解释器执行。

原理：

由于服务器端对用户的报文没有合法性校验，仅在web前端进行合法性校验，该报文被扫描软件获取后，修改报文内容为sql脚本，shell脚本命令等等，该脚本可以获取关键信息。

解决方案：在服务器端增加对报文中sql和shell关键字的校验。

Password Field Auto Complete Active

原理：

带有password的文本框，浏览器可以把保存的用户名和密码自动填入。需要在其属性字段设置AUTOCOMPLETE="off"来禁用该功能，

解决方案：

页面主要有主要有wifi 密码，远程,注册密码，宽带pppoe，t 远程注册，用户管理，ddns管理，前端html中设置AUTOCOMPLETE="off"

SLOWLORIS DDOS 拒绝攻击服务

原理：

以极低的速率向web server 发送HTTP请求，长时间不断开,占用SERVER 处理资源，导致正常的连接无法接入。

解决方案：iptables规则暂时可以解决，最好使用nginx安全配置来防护。

增加防火墙规则，限制单个IP连接80/443端口的请求数目，以及80/443端口总连接数

iptables -I INPUT -p tcp –dport 80 -m connlimit –connlimit-above 20 -j REJECT

iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 40 --connlimit-mask 0 -j DROP

File upload functionality

备份文件泄露

原理：

搜索常见备份目录以及备份文件名，如果web server 可以返回数据，说明存在漏洞

解决方案：

一般属于误报，如果对不存在文件返回到登录页面，被误以为是漏洞，需要返回400 错误

HTTP Parameter Override

Unspecified form action: HTTP parameter override attack potentially possible. This is a known problem with Java Servlets but other platforms may also be vulnerable.

原因：

软件的漏洞认定形式上是form没有action.

解决方案：

去掉此类form，或者增加action

3)SSL 自签名漏洞原理和解决方案

SSL Certificate with Wrong Hostname

SSL Certificate Cannot Be Trusted

SSL Self Signed Certificate

自签名证书澄清报告：

要使用第三方认证 CA 证书，必须要具备域名，而且一个域名对应一个 CA 证书，无域名设备不具备第三方认证证书申请条件。第三方证书机构有关规定：不允许向保留 IP 颁发证书，并且自 2016 年 10 月 1 日起，以前发布到保留 IP地址的所有证书均被撤销。保留 IP参考 IANA IPv4 Address Space Registry 定义，包含私网网段 192.168.0.0/16。

Jquery漏洞

jquery 1.4.0 --1.11.3

jquery2.0--Jquery 2.2.4

存在xss漏洞，

可以采用jquery 4.0版本来避免漏洞。但Jquery 2.0以上不支持ie6/7/8,如果想保持兼容性。

可以通过修改源码漏洞和混淆方式处理

openssl漏洞

在https://www.openssl.org/source升级openssl 到1.0.2(2019.5发布）以上, 应用中采用tls1.1 及以上版本通信

常见安全扫描软件web漏洞安全漏洞防护方案相关推荐

PHP远程DoS漏洞深入分析及防护方案
5月14日,国内爆出php远程DoS漏洞,官方编号69364.利用该漏洞构造poc发起链接,很容易导致目标主机cpu的占用率100%,涉及PHP多个版本.绿盟科技威胁响应中心随即启动应急机制, 应急响 ...
Web安全漏洞及安全防护
一.Web安全概述搭建一个Web应用不仅要考虑其功能与性能的完善性,更要考虑其安全性.Web应用搭建好以后,在暴露于外网的情况下是否是安全的?是否会遭受攻击者的攻击?是否对敏感数据.敏感代码及敏感后 ...
识别常见的Web应用安全漏洞
在Internet大众化及Web技术飞速演变的今天,在线安全所面临的挑战日益严峻.伴随着在线信息和服务的可用性的提升,以及基子Web的攻击和破坏的增长,安全风险达到了前所未有的高度.由于众多安全工作集 ...
OWASP-TOP10漏洞详解以及防护方案
OWASP TOP 10 漏洞详解以及防护方案 OWASP介绍官网:http://www.owasp.org.cn/ OWASP TOP10 指出了 WEB 应用面临最大风险的 10 类问题,是目前 ...
web漏洞--注入漏洞
目录 1.Sql注入 2.Xml注入(xml实体注入,XXE) 3.远程文件包含漏洞 4.本地文件包含漏洞 5.命令注入漏洞 1.Sql注入 1.概念 1.SQL注入是一种Web应用代码中的漏洞. 2 ...
Web通用型漏洞简介
本篇文章主要简单介绍一下(我能想到的)Web通用型漏洞(以OWASP体系为主,非组件引起的,可能出现在任何语言任何环境中的web漏洞)的原理以及简单的攻击者利用方式.注:看本篇文章不会学到任何新技术, ...
web安全的漏洞种类
SQL注入: SQL注入(SQL Injection),是一个常见的发生于应用程序和数据库之间的web安全漏洞,由于在开发过程中的设计不当导致程序中忽略了检查,没有有效的过滤用户的输入,是攻击者可以向 ...
文件上传漏洞、WebShell、防御及绕过利用、Web容器解析漏洞、编辑器上传漏洞
文章目录文件上传漏洞漏洞概述漏洞成因漏洞危害 WebShell 大马小马 GetShell 漏洞利用的条件 PUT方法上传文件漏洞的防御.绕过和利用黑白名单策略安装upload-lab ...
web常用的漏洞修复建议
Web应用漏洞原理 Web应用攻击是攻击者通过浏览器或攻击工具,在URL或者其它输入区域(如表单等),向Web服务器发送特殊请求,从中发现Web应用程序存在的漏洞,从而进一步操纵和控制网站,查看.修改 ...

常见安全扫描软件web漏洞安全漏洞防护方案

常见安全扫描软件web漏洞安全漏洞防护方案相关推荐

最新文章

热门文章