常见WEB安全漏洞及整改建议_百度文库
两大类热门资源免费畅读
续费一年阅读会员，立省24元！
常见WEB安全漏洞及整改建议
上传于|0|0|暂无简介
阅读已结束，如果下载本文需要使用1下载券
想免费下载本文？
定制HR最喜欢的简历
下载文档到电脑，查找使用更方便
还剩25页未读，继续阅读
定制HR最喜欢的简历
你可能喜欢您所在位置： &
&nbsp&&nbsp&nbsp&&nbsp
WEB开发安全漏洞原因分析及解决.doc 28页
本文档一共被下载：
次 ,您可全文免费在线阅读后下载本文档。
下载提示
1.本站不保证该用户上传的文档完整性，不预览、不比对内容而直接下载产生的反悔问题本站不予受理。
2.该文档所得收入(下载+内容+预览三)归上传者、原创者。
3.登录后可充值，立即自动返金币，充值渠道很便利
需要金币：150 &&
WEB开发安全漏洞原因分析及解决
你可能关注的文档：
··········
··········
WEB开发安全漏洞原因分析及解决文档控制修改记录日期 修改类型 作者 版本 备注
目录1 会话标识未更新 51.1 原因 51.2 解决 52 SQL注入 62.1 原因 62.2 解决 73 XSS跨站脚本编制 83.1 原因 83.2 解决 84 XSRF跨站请求伪造 104.1 原因 104.2 解决 104.2.1 使用的Struts框架开发的web应用 114.2.2 Jsp+javabean开发的web应用 135 登录错误消息凭证枚举（不充分帐户封锁） 155.1 原因 155.2 解决 156 HTML注释敏感信息泄露 156.1 原因 156.2 解决 157 应用程序错误 157.1 原因 157.2 解决 158 已解密的登录请求 158.1 原因 158.2 解决 168.2.1 prototype版 168.2.2 JQuery版 169 启用了不安全的HTTP方法 179.1 原因 179.2 解决 1710 禁止页面缓存 1810.1 原因 1810.2 解决 1811 数据库错误模式 1811.1 原因 1811.2 解决 1912 SQL注入文件写入（需要用户验证） 1912.1 原因 1912.2 解决 2013 不充分的帐号封锁 2013.1 原因 2013.2 解决 2014 链接注入（便于跨站请求伪造） 2114.1 原因 2114.2 解决 2115 通过框架钓鱼 2216 CauchoResinresin-admin跨站点脚本编制 2216.1 原因 2216.2 解决 2217 HTTP响应分割 2217.1 原因 2217.2 解决 2318 ApacheTomcatWeb表单哈希冲突拒绝服务漏洞 2418.1 原因 2418.2 解决 2419 会话cookie中缺少HttpOnly属性 2419.1 原因 2419.2 解决 2420 基于DOM的跨站点脚本编制 2520.1 原因 2520.2 解决 2621 主机允许从任何域进行flash访问 2721.1 原因 2721.2 解决 27会话标识未更新原因在用户进入登录页面，但还未登录时，就已经产生了一个session，用户输入信息，登录以后，session的id不会改变，也就是说还是以前的那个session（事实上session也确实不会改变，因为没有建立新session，原来的session也没有被销毁）。会话invalidate没有用request.getSession().invalidate();），是因为invalidate方法不是真正的将session销毁，只是将session中的内容清空，所以当invalidate以后再新建session，新建的session其实不是新的，是将之前的session重新启用了。于是session的id不变就不奇怪了。 Cookie[]cookies=request.getCookies(); for(inti=0;i&cookies.i++){
if(cookies[i].getName().toUpperCase().equals(&JSESSIONID&))
cookies[i].setMaxAge(0);
解决在登录页面上加上一段代码：request.getSession().invalidate();//清空sessionif(request.getCookies()!=null){ Cookie[]cookies=request.getCookies();for(inti=0;i&cookies.i++){if(cookies[i].getName().toUpperCase().equals(&JSESSIONID&)) cookies[i].setMaxAge(0);//让JSESSIONIDcookie过期}}没有正确过滤转义字符在用户的输入没有为转义字符过滤时，就会发生这种形式的注入式攻击，它会被传递给一个SQL语句。这样就会导致应用程序的终端用户对数据库上的语句实施操纵。比方说，下面的这行代码就会演示这种漏洞：statement:=&SELECT*FROMusersWHEREname='&+userName+&';&将用户名变量(即username)设置为：a'or't'='t，此时原始语句发生了变化如果一个用户提供的字段并非一个强类型，或者没有实施类型强制，就会发生这种形式的攻击。当在一个SQL语句中使用一个数字字段时，如果程序员没有检查用户输入的合法性(是否为数字型)就会发生这种攻击。例如：
正在加载中，请稍后...CVE-漏洞详情 - SCAP中文社区
CVE&&通用漏洞与披露Common Vulnerabilities and Exposures
发布时间&: 10:55:04
修订时间&: 12:45:55
[原文]** DISPUTED ** Cross-site request forgery (CSRF) vulnerability in the Manager application in Apache Tomcat 5.5.25 and earlier allows remote attackers to hijack the authentication of administrators for requests that manipulate application deployment via the POST method, as demonstrated by a /manager/html/undeploy?path= URI.
NOTE: the vendor disputes the significance of this report, stating that "the Apache Tomcat Security team has not accepted any reports of CSRF attacks against the Manager application ... as they require a reckless system administrator."
[CNNVD]Apache Tomcat Manager组件跨站请求伪造漏洞()&&&&&&&&Tomcat是美国Apache软件基金会下属的Jakarta项目的一款轻量级Web应用服务器，它主要用于开发和调试JSP程序，适用于中小型系统。
&&&&&&&&Apache Tomcat 5.5.25及之前的版本中存在跨站请求伪造漏洞。攻击者可借助&POST&函数利用该漏洞在受影响应用程序上下文中执行未授权操作，也可能存在其他形式的攻击。
CVSS (基础分值)
[中等(MEDIUM)]
机密性影响:
[很可能造成信息泄露]
完整性影响:
[可能会导致系统文件被修改]
可用性影响:
[可能会导致性能下降或中断资源访问]
攻击复杂度:
[漏洞利用存在一定的访问条件]
[攻击者不需要获取内网访问权或本地访问权]
[漏洞利用无需身份认证]
CWE (弱点类目)
[跨站请求伪造（CSRF）]
CPE (受影响的平台与产品)
cpe:/a:apache:tomcat:5.0.30Apache Software Foundation Tomcat 5.0.30cpe:/a:apache:tomcat:3.2.2:beta2Apache Software Foundation Tomcat 3.2.2 Beta2cpe:/a:apache:tomcat:1.1.3Apache Software Foundation Tomcat 1.1.3cpe:/a:apache:tomcat:5.5.25Apache Software Foundation Tomcat 5.5.25cpe:/a:apache:tomcat:5.5.20Apache Software Foundation Tomcat 5.5.20cpe:/a:apache:tomcat:3.0Apache Software Foundation Tomcat 3.0cpe:/a:apache:tomcat:3.1Apache Software Foundation Tomcat 3.1cpe:/a:apache:tomcat:3.2Apache Software Foundation Tomcat 3.2cpe:/a:apache:tomcat:5.5.24Apache Software Foundation Tomcat 5.5.24cpe:/a:apache:tomcat:5.5.22Apache Software Foundation Tomcat 5.5.22cpe:/a:apache:tomcat:5.5.21Apache Software Foundation Tomcat 5.5.21cpe:/a:apache:tomcat:5.5.23Apache Software Foundation Tomcat 5.5.23cpe:/a:apache:tomcat:4.1.36Apache Software Foundation Tomcat 4.1.36cpe:/a:apache:tomcat:4.1.31Apache Software Foundation Tomcat 4.1.31cpe:/a:apache:tomcat:3.3Apache Software Foundation Tomcat 3.3cpe:/a:apache:tomcat:5.5.13Apache Software Foundation Tomcat 5.5.13cpe:/a:apache:tomcat:4.1.28Apache Software Foundation Tomcat 4.1.28cpe:/a:apache:tomcat:5.5.19Apache Software Foundation Tomcat 5.5.19cpe:/a:apache:tomcat:4.1.29Apache Software Foundation Tomcat 4.1.29cpe:/a:apache:tomcat:5.5.18Apache Software Foundation Tomcat 5.5.18cpe:/a:apache:tomcat:5.5.16Apache Software Foundation Tomcat 5.5.16cpe:/a:apache:tomcat:5.5.15Apache Software Foundation Tomcat 5.5.15cpe:/a:apache:tomcat:5.5.14Apache Software Foundation Tomcat 5.5.14cpe:/a:apache:tomcat:3.3.1aApache Software Foundation Tomcat 3.3.1acpe:/a:apache:tomcat:4.0.1Apache Software Foundation Tomcat 4.0.1cpe:/a:apache:tomcat:5.0.2Apache Software Foundation Tomcat 5.0.2cpe:/a:apache:tomcat:4.0.2Apache Software Foundation Tomcat 4.0.2cpe:/a:apache:tomcat:5.5.1Apache Software Foundation Tomcat 5.5.1cpe:/a:apache:tomcat:5.5.12Apache Software Foundation Tomcat 5.5.12cpe:/a:apache:tomcat:5.0.11Apache Software Foundation Tomcat 5.0.11cpe:/a:apache:tomcat:4.0.3Apache Software Foundation Tomcat 4.0.3cpe:/a:apache:tomcat:5.0.0Apache Software Foundation Tomcat 5.0.0cpe:/a:apache:tomcat:5.5.0Apache Software Foundation Tomcat 5.5.0cpe:/a:apache:tomcat:5.5.11Apache Software Foundation Tomcat 5.5.11cpe:/a:apache:tomcat:5.0.10Apache Software Foundation Tomcat 5.0.10cpe:/a:apache:tomcat:5.5.10Apache Software Foundation Tomcat 5.5.10cpe:/a:apache:tomcat:5.0.1Apache Software Foundation Tomcat 5.0.1cpe:/a:apache:tomcat:4.1.2Apache Software Foundation Tomcat 4.1.2cpe:/a:apache:tomcat:5.0.15Apache Software Foundation Tomcat 5.0.15cpe:/a:apache:tomcat:4.1.1Apache Software Foundation Tomcat 4.1.1cpe:/a:apache:tomcat:5.0.14Apache Software Foundation Tomcat 5.0.14cpe:/a:apache:tomcat:4.1.0Apache Software Foundation Tomcat 4.1.0cpe:/a:apache:tomcat:5.0.13Apache Software Foundation Tomcat 5.0.13cpe:/a:apache:tomcat:5.0.3Apache Software Foundation Tomcat 5.0.3cpe:/a:apache:tomcat:5.0.19Apache Software Foundation Tomcat 5.0.19cpe:/a:apache:tomcat:5.0.12Apache Software Foundation Tomcat 5.0.12cpe:/a:apache:tomcat:4.0.4Apache Software Foundation Tomcat 4.0.4cpe:/a:apache:tomcat:5.0.17Apache Software Foundation Tomcat 5.0.17cpe:/a:apache:tomcat:5.0.18Apache Software Foundation Tomcat 5.0.18cpe:/a:apache:tomcat:4.0.6Apache Software Foundation Tomcat 4.0.6cpe:/a:apache:tomcat:4.0.5Apache Software Foundation Tomcat 4.0.5cpe:/a:apache:tomcat:4.1.3Apache Software Foundation Tomcat 4.1.3cpe:/a:apache:tomcat:5.0.6Apache Software Foundation Tomcat 5.0.6cpe:/a:apache:tomcat:5.0.16Apache Software Foundation Tomcat 5.0.16cpe:/a:apache:tomcat:4.0.0Apache Software Foundation Tomcat 4.0.0cpe:/a:apache:tomcat:5.0.5Apache Software Foundation Tomcat 5.0.5cpe:/a:apache:tomcat:5.0.4Apache Software Foundation Tomcat 5.0.4cpe:/a:apache:tomcat:4.1.3:betaApache Software Foundation Tomcat 4.1.3 betacpe:/a:apache:tomcat:5.5.17Apache Software Foundation Tomcat 5.5.17cpe:/a:apache:tomcat:4.1.24Apache Software Foundation Tomcat 4.1.24cpe:/a:apache:tomcat:3.3.1Apache Software Foundation Tomcat 3.3.1cpe:/a:apache:tomcat:5.5.3Apache Software Foundation Tomcat 5.5.3cpe:/a:apache:tomcat:5.5.4Apache Software Foundation Tomcat 5.5.4cpe:/a:apache:tomcat:3.2.1Apache Software Foundation Tomcat 3.2.1cpe:/a:apache:tomcat:5.0.7Apache Software Foundation Tomcat 5.0.7cpe:/a:apache:tomcat:5.5.5Apache Software Foundation Tomcat 5.5.5cpe:/a:apache:tomcat:3.2.2Apache Software Foundation Tomcat 3.2.2cpe:/a:apache:tomcat:5.5.7Apache Software Foundation Tomcat 5.5.7cpe:/a:apache:tomcat:3.1.1Apache Software Foundation Tomcat 3.1.1cpe:/a:apache:tomcat:5Apache Software Foundation Tomcat 5cpe:/a:apache:tomcat:5.0.23Apache Software Foundation Tomcat 5.0.23cpe:/a:apache:tomcat:5.5.8Apache Software Foundation Tomcat 5.5.8cpe:/a:apache:tomcat:5.5.9Apache Software Foundation Tomcat 5.5.9cpe:/a:apache:tomcat:4.1.12Apache Software Foundation Tomcat 4.1.12cpe:/a:apache:tomcat:5.0.8Apache Software Foundation Tomcat 5.0.8cpe:/a:apache:tomcat:5.0.29Apache Software Foundation Tomcat 5.0.29cpe:/a:apache:tomcat:5.0.9Apache Software Foundation Tomcat 5.0.9cpe:/a:apache:tomcat:5.5.2Apache Software Foundation Tomcat 5.5.2cpe:/a:apache:tomcat:5.0.28Apache Software Foundation Tomcat 5.0.28cpe:/a:apache:tomcat:5.0.27Apache Software Foundation Tomcat 5.0.27cpe:/a:apache:tomcat:5.5.6Apache Software Foundation Tomcat 5.5.6cpe:/a:apache:tomcat:4Apache Software Foundation Tomcat 4cpe:/a:apache:tomcat:4.1.9:betaApache Software Foundation Tomcat 4.1.9 betacpe:/a:apache:tomcat:5.0.22Apache Software Foundation Tomcat 5.0.22cpe:/a:apache:tomcat:4.1.10Apache Software Foundation Tomcat 4.1.10cpe:/a:apache:tomcat:5.0.21Apache Software Foundation Tomcat 5.0.21cpe:/a:apache:tomcat:5.0.26Apache Software Foundation Tomcat 5.0.26cpe:/a:apache:tomcat:4.1.15Apache Software Foundation Tomcat 4.1.15cpe:/a:apache:tomcat:5.0.24Apache Software Foundation Tomcat 5.0.24cpe:/a:apache:tomcat:5.0.25Apache Software Foundation Tomcat 5.0.25cpe:/a:apache:tomcat:3.2.4Apache Software Foundation Tomcat 3.2.4cpe:/a:apache:tomcat:3.3.2Apache Software Foundation Tomcat 3.3.2cpe:/a:apache:tomcat:3.2.3Apache Software Foundation Tomcat 3.2.3
OVAL (用于检测的技术细节)
未找到相关OVAL定义
官方数据库链接
(官方数据源) MITRE
(官方数据源) NVD
(官方数据源) CNNVD
其它链接及资源
(UNKNOWN) &MISC &http://www./wp-content/uploads/2013/11/Apache-Tomcat-5.5.25-CSRF-Vulnerabilities.txt
公告与补丁
&&&&&&&&目前厂商还没有提供此漏洞的相关补丁或者升级程序，建议使用此软件的用户随时关注厂商的主页以获取最新版本：
&&&&&&&&
漏洞信息 (F123894)
受影响的程序版本
关于SCAP中文社区
SCAP中文社区是国内第一个以SCAP为主题的中文开放社区。了解更多信息，请查阅[。
CVE/CWE/OVAL均为MITRE公司的注册商标，它们的官方数据源均保存在。经常被忽视的攻击 —— CSRF (跨站请求伪造)
CSRF（Cross-site request forgery 跨站请求伪造，也被称成为&one click attack&或者session riding，通常缩写为CSRF或者XSRF，是一种对网站的恶意利用。尽管听起来像跨站脚本（XSS），但它与XSS非常不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。与XSS攻击相比，CSRF攻击往往不大流行（因此对其进行防范的资源也相当稀少）和难以防范，所以被认为比XSS更具危险性。
攻击通过在授权用户访问的页面中包含链接或者脚本的 方式工作。例如：一个网站用户Bob可能正在浏览聊天论坛，而同时另一个用户Alice也在此论坛中，并且后者刚刚发布了一个具有Bob银行链接的图片消 息。设想一下，Alice编写了一个在Bob的银行站点上进行取款的form提交的链接，并将此链接作为图片tag。如果Bob的银行在cookie中保 存他的授权信息，并且此cookie没有过期，那么当Bob的浏览器尝试装载图片时将提交这个取款form和他的cookie，这样在没经Bob同意的情况下便授权了这次事务。
CSRF是一种依赖web浏览器的、被混淆过的代理人攻击（deputy attack）。在上面银行示例中的代理人是Bob的web浏览器，它被混淆后误将Bob的授权直接交给了Alice使用。
下面是CSRF的常见特性：
依靠用户标识危害网站
利用网站对用户标识的信任
欺骗用户的浏览器发送HTTP请求给目标站点
另外可以通过IMG标签会触发一个GET请求，可以利用它来实现CSRF攻击。
风险在于那些通过基于受信任的输入form和对特定行为无需授权的已认证的用户来执行某些行为的web应用。已经通过被保存在用户浏览器中的cookie进行认证的用户将在完全无知的情况下发送HTTP请求到那个信任他的站点，进而进行用户不愿做的行为。
使用图片的CSRF攻击常常出现在网络论坛中，因为那里允许用户发布图片而不能使用JavaScript。
国庆期间， 再次对 OSChina 实施了 CSRF，详情如下：
转载请注明：文章转载自 开源中国社区
本文标题：经常被忽视的攻击 —— CSRF (跨站请求伪造)
本文地址：
rails这点做的挺不错的，java的框架其实可以借鉴一下，很多基础性的东西就不要大家都去弄一下了}