【正文】 } } } } return newStr。 isLetter = true。 if ( 0) { for (int i = 0。 int index = (39。 } } (request, response)。 ().write(script language=39。 for (int i = 0。amp。過(guò)濾技術(shù)是通過(guò)特定過(guò)濾函數(shù)，去查找每個(gè)請(qǐng)求的每個(gè)參數(shù)對(duì)應(yīng)的值，如果出現(xiàn)了不允許的字符，就會(huì)彈出如下提示： 點(diǎn)確定后即可回到請(qǐng)求頁(yè)面，刪除敏感字符即可請(qǐng)求成功?。?** * 參數(shù)過(guò)濾類(lèi)，過(guò)濾普通表單 */public class ParameterFilter implements Filter { private Pattern scriptPattern。 解決方案u 過(guò)濾掉用戶(hù)輸入中的危險(xiǎn)字符。 } else alert(status is + )。 alert(url+url)。nbsp。/td tdamp。nbsp。opacity: 0。fontsize: 13px。 修改原來(lái)密碼框的type屬性為text，并添加onkeyup函數(shù)如下：input type=text id=cipher name=cipher style=width:100px size=15 onkeyup=(39。 示例步驟如下：216。 var kcode = ? : 。amp。對(duì)于提交的敏感信息即使加密后，AppScan軟件同樣認(rèn)為該漏洞存在。 已解密的登錄請(qǐng)求 描述通過(guò)HTTP POST 發(fā)送表單數(shù)據(jù)，這些數(shù)據(jù)將在HTTP報(bào)文中以明文的形式傳輸。 技術(shù)實(shí)現(xiàn)只要養(yǎng)成良好的習(xí)慣，堅(jiān)決不使用容易預(yù)測(cè)的名和密碼，即可徹底杜絕此類(lèi)問(wèn)題。 技術(shù)實(shí)現(xiàn)u 提供鎖定信息配置類(lèi)，可根據(jù)項(xiàng)目特定需求修改此配置信息。//讓cookie過(guò)期 注意：，登陸成功后會(huì)清理掉當(dāng)前session，重新創(chuàng)建一個(gè)新的session。u 請(qǐng)勿接受用戶(hù)瀏覽器登錄時(shí)所提供的會(huì)話(huà)標(biāo)識(shí)。本文針對(duì)此報(bào)告中提到的一些重大安全隱患問(wèn)題逐一分析，并給出相應(yīng)的解決方案。 不久前項(xiàng)目管理部對(duì)公司內(nèi)外重點(diǎn)系統(tǒng)進(jìn)行了一次安全隱患分析測(cè)試，并總結(jié)出了《公司安全測(cè)試問(wèn)題分類(lèi)及描述》的報(bào)告文檔。u 防止用戶(hù)操縱會(huì)話(huà)標(biāo)識(shí)。//獲取cookie(0)。帳戶(hù)鎖定大約 10 分鐘，通常用這樣的方法阻止蠻力攻擊。 解決方案不應(yīng)使用易于預(yù)測(cè)的憑證（例如：admin+admin、guest+guest、test+test 等），因?yàn)樗鼈兛赡芎苋菀最A(yù)測(cè)，可讓用戶(hù)不當(dāng)進(jìn)入應(yīng)用程序。 技術(shù)實(shí)現(xiàn)不論名和密碼哪個(gè)錯(cuò)誤，都提示如下所示同樣的消息：一旦某個(gè)帳戶(hù)連續(xù)登陸失敗次數(shù)達(dá)到了規(guī)定的數(shù)值，就會(huì)按配置的時(shí)間被鎖定，如下提示：如此一來(lái)，攻擊者就沒(méi)機(jī)會(huì)窮舉帳戶(hù)和密碼了，此類(lèi)攻擊也就不可能發(fā)生了！ 注意：。注意：如果不是基于SSL的HTTPS傳輸協(xié)議的話(huà)。nbsp。/liliinput id=password type=hidden name=password/lidiv js代碼function hiddenPass(e){ e = e ? e : 。如果還能掃描出漏洞的話(huà)，那就在修改密碼輸入框名字的基礎(chǔ)上，把輸入框的type的屬性值為password的值改為text，然后用Javascript函數(shù)來(lái)模擬實(shí)現(xiàn)星號(hào)代替輸入值的密碼輸入效果即可饒過(guò)該掃描。216。 在頁(yè)面的head標(biāo)簽中間添加如下樣式：style type=text/css! code{ position: absolute。 mozopacity:0。用戶(hù)：/tdtd width=42%input type=text name=j_username style=width:100px id=j_username value= size=15//tdtd width=27%img src=eaf/images/ style=cursor:pointer //tdtd width=12%amp。nbsp。/td /tr trtd colspan=4amp。j_cipher=+(j_password).value。 } else if ( == 403) { alert(Access denied.)。 安全風(fēng)險(xiǎn)可能會(huì)查看、修改或刪除數(shù)據(jù)庫(kù)條目和表。 技術(shù)實(shí)現(xiàn)（1）采用過(guò)濾器技術(shù)。 if (!(multipart/formdata) amp。 para_value = (String[]) (para_name)。 charset=GBK)。 return。 totalLetter = scriptPara+|+sqlPara。 !()) { String[] temp = (\\|)。 if ((str).matches()) { tempStr = tempStr+ ((\\%+ parseAscii(()) + )| + (\\%+ parseAscii(str)+ )|( + str + ))。 } else { newStr = newStr + |.*( + tempStr + ).*。break。 } return rt。 byte[] bs=()。amp。 i 。|or||(|)]]/paramvalue /initparam initparam paramnamenotProtect/paramname paramvalue,.upload/paramvalue /initparam /filter filtermapping filternameSecurityFilter/filtername urlpattern*.jsp/urlpattern /filtermapping（2）每個(gè)請(qǐng)求都采取特定的數(shù)據(jù)驗(yàn)證函數(shù)，驗(yàn)證數(shù)據(jù)的類(lèi)型和長(zhǎng)度，只允許特定的特殊字符輸入。 安全風(fēng)險(xiǎn)可能會(huì)竊取或操縱客戶(hù)會(huì)話(huà)和 cookie，它們可能用于模仿合法用戶(hù)，從而使黑客能夠以該用戶(hù)身份查看或變更用戶(hù)記錄以及執(zhí)行事務(wù)。這個(gè)修改可以防止利用{img}標(biāo)簽或者其它的類(lèi)型的GET請(qǐng)求的CSRF攻擊。J 過(guò)濾器代碼public class CsrfFilter implements Filter { private String notProtect。 Object obj = () 。 ().write(script language=39。 } } } (request, response)。 for (int j = 0。 + b1))。A39。 Iterator it = ().iterator()。 if (interval = term) { ()。 發(fā)現(xiàn)數(shù)據(jù)庫(kù)錯(cuò)誤模式 描述“SQL 注入”以外的攻擊所觸發(fā)的“數(shù)據(jù)庫(kù)錯(cuò)誤”， 插入的危險(xiǎn)字符滲透了應(yīng)用程序并到達(dá) SQL 查詢(xún)本身（即應(yīng)用程序易受到 SQL 注入攻擊）。（反斜線(xiàn)轉(zhuǎn)義單引號(hào)）[4] \（反斜杠轉(zhuǎn)義引號(hào)）[5] )（結(jié)束括號(hào)）[6] 。 安全風(fēng)險(xiǎn)攻擊者可從錯(cuò)誤信息判斷出SQL注入或其他攻擊方式的漏洞。（4）請(qǐng)勿在生產(chǎn)環(huán)境中輸出調(diào)試錯(cuò)誤消息和異常。J 過(guò)濾器代碼 public class HttpMethodFilter implements Filter{ public void destroy() { } public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request。 } public void init(FilterConfig filterConfig) throws ServletException { }}J filter filternameMethodFilter/filtername filterclass /filterclass /filter filtermapping filternameMethodFilter/filtername urlpattern/*/urlpattern /filtermapping注意：此漏洞僅在Tomcat服務(wù)器中存在。（5） 訪(fǎng)問(wèn)管理控制臺(tái)的地址格式變?yōu)椋?//ip:端口/vseafConsoleu 禁用控制臺(tái)（不建議） 實(shí)現(xiàn)步驟： 此方案的實(shí)現(xiàn)步驟幾乎與上個(gè)技術(shù)方案相同。\_memberAccess[\39。)(\foo\=new%(false)))amp。 技術(shù)實(shí)現(xiàn)為了防止攻擊者調(diào)用任意方法任意參數(shù) 把標(biāo)志 is set to true and the 設(shè)置為true 和SecurityMemberAccess field allowStaticMethodAccess is set to false by成員訪(fǎng)問(wèn)安全域“允許靜態(tài)的方法訪(fǎng)問(wèn)”設(shè)置為falsedefault. Also, to prevent access to context variables an improved character同時(shí)為了防止訪(fǎng)問(wèn)上下文變量和提供whitelist for paramteter names is applied in XWork39。3 系統(tǒng)安全隱患及預(yù)防措施 4 數(shù)據(jù)庫(kù)安全隱患及預(yù)防措施 5 應(yīng)用程序安全隱患及預(yù)防措施