1. 程式人生 > >關於網站掃描到的幾種漏洞及處理辦法

關於網站掃描到的幾種漏洞及處理辦法

1. Apache JServ protocol service漏洞

問題出在Tomcat的8009埠,錯誤的提示是8009埠上執行著tcp協議。

解決辦法:只能是通過關閉8009埠來實現,但是關閉埠之後對Tomcat有影響,目前還沒有找到好的解決辦法。

2. HTML form without CSRF protection

問題出在表單提交沒有保護,可以偽造一個表單進行提交。

解決辦法:在提交表單的jsp介面產生一個隨機數,把這個隨機數放到session中傳遞,同時也放到form表單中以input的方式傳遞(注意這裡要把input的type型別設定為hidden,並且一定要放在提交按鈕之前),然後在後臺,對比從前臺傳遞的引數和從session中獲得引數,如果不一致,說明是偽造的表單。拒絕訪問。

3. Slow Http Denial of Service Attack

問題出在http頭部的限定長度過大,攻擊者可以通過連結伺服器之後,緩慢的傳送資料來保持持續連結,這樣來控制它的最大併發量。

解決辦法:修改Tomcat的server.xml的8080埠,把裡面的connectionTimeout=”20000”修改成connectionTimeout=”8000”,問題解決,但不確定對程式有無影響,目前來看沒發現有其他影響。還可以修改http頭部的大小限制,因為已經解決問題,就沒有再去修改頭部大小。

4. User cerdentials are sent in clear text

問題表現是說表單中的資料一明文的形式傳遞,但是掃描到的這兩個都是在表單中用

post的方式傳遞,沒有找到解決此漏洞的方法。有解決這個問題的辦法,請告訴我,感激不盡。

5. Application error message Error message on page

問題出在程式出現500錯誤時,有關伺服器的問題,會展現在瀏覽器的頁面上Tomcat的路徑,這樣就會把伺服器的路徑暴露在攻擊者面前。

解決辦法:當出現500錯誤時,自定義介面。在Tomcat的web.xml裡,最下面也就是</web-app>之前新增如下內容

<error-page>

        <error-code>500</error-code>

        <

location>/error500.html</location>

</error-page>

然後,在在程式的web-inf下面新建一個error500.html,自定義當出現500錯誤時的介面。

這是工作過程中解決問題時的積累,如果對你有幫助,倍感榮幸,有什麼問題我們可以留言交流。