【正文】 paramnameTokenTimeOut/paramname paramvalue15/paramvalue /initparam /filter filtermapping filternameCsrfFilter/filtername urlpattern*.jsp/urlpattern /filtermapping 注意：這是目前唯一能解決此漏洞的可行方案，但是有一定的工作量，且對系統(tǒng)效率也有輕微影響，是否有必要修改，值得商榷。 發(fā)現(xiàn)數(shù)據(jù)庫錯誤模式 描述“SQL 注入”以外的攻擊所觸發(fā)的“數(shù)據(jù)庫錯誤”， 插入的危險字符滲透了應(yīng)用程序并到達(dá) SQL 查詢本身（即應(yīng)用程序易受到 SQL 注入攻擊）。 安全級別高。 安全風(fēng)險可能會查看、修改或刪除數(shù)據(jù)庫條目和表。 解決方案A確保用戶輸入的值和類型（如 Integer、Date 等）有效，且符合應(yīng)用程序預(yù)期。 B. 利用存儲過程，將數(shù)據(jù)訪問抽象化，讓用戶不直接訪問表或視圖。當(dāng)使用存儲過程時，請利用 ADO 命令對象來實施它們，以強(qiáng)化變量類型。 C. 清理輸入以排除上下文更改符號，例如： [1] 39。（單引號）[2] （引號）[3] \39。（反斜線轉(zhuǎn)義單引號）[4] \（反斜杠轉(zhuǎn)義引號）[5] )（結(jié)束括號）[6] 。（分號） 技術(shù)實現(xiàn)參見 技術(shù)實現(xiàn)。 應(yīng)用程序錯誤 描述如果攻擊者通過探測Web 頁來找尋引起異常的各種情況，則出現(xiàn)信息泄漏攻擊。對于攻擊者而言，這是一種頗有成效的攻擊方法。因為異常細(xì)節(jié)信息常以 HTML 的形式返回并顯示在瀏覽器中。這可能會泄漏很有用的信息，如堆棧跟蹤。堆棧跟蹤包含數(shù)據(jù)庫連接字符串、數(shù)據(jù)庫名、數(shù)據(jù)庫方案信息、SQL 語句以及操作系統(tǒng)和平臺版本。 安全級別中。 安全風(fēng)險攻擊者可從錯誤信息判斷出SQL注入或其他攻擊方式的漏洞。 解決方案（1）檢查所有的請求，以了解所有預(yù)期的參數(shù)和值是否存在。當(dāng)參數(shù)缺失時，發(fā)出適當(dāng)?shù)腻e誤消息，或使用缺省值。 （2）應(yīng)用程序應(yīng)驗證其輸入是否由有效字符組成（解碼后）。 例如，應(yīng)拒絕包含空字節(jié)（編碼為 %00）、單引號、引號等的輸入值。 （3） 確保值符合預(yù)期范圍和類型。 如果應(yīng)用程序預(yù)期特定參數(shù)具有特定集合中的值，那么該應(yīng)用程序應(yīng)確保其接收的值確實屬于該集合。例如，如果應(yīng)用程序預(yù)期值在 10..99 范圍內(nèi)，那么就該確保該值確實是數(shù)字，且在 10..99 范圍內(nèi)。（4）請勿在生產(chǎn)環(huán)境中輸出調(diào)試錯誤消息和異常。 技術(shù)實現(xiàn)養(yǎng)成良好的編碼習(xí)慣，屏蔽錯誤信息，防止信息泄露，將默認(rèn)的錯誤信息替換成一個事先定制好的Html頁面，這個頁面只顯示一條簡單的錯誤消息但不提供任何細(xì)節(jié)。例如：可以將瀏覽器的40500等錯誤以一個友好的界面展現(xiàn)出來。，添加 這樣的話，一旦出現(xiàn)404錯誤，如下：如果出現(xiàn)500錯誤，如下： 啟用了不安全的 HTTP 方法 描述Allow 頭顯示危險的 HTTP 選項是已允許的，如： DELETE SEARCH COPY MOVE 等，這表示在服務(wù)器上啟用了 WebDAV，可能允許未授權(quán)的用戶對其進(jìn)行利用。 安全級別中。 安全風(fēng)險可能會在 Web 服務(wù)器上上載、修改或刪除 Web 頁面、腳本和文件。 解決方案如果服務(wù)器不需要支持 WebDAV，請務(wù)必禁用它，或禁止不必要的 HTTP 方法（動詞）。 技術(shù)實現(xiàn)u 添加過濾器，只允許POST和GET兩個HTTP方法訪問系統(tǒng)。J 過濾器代碼 public class HttpMethodFilter implements Filter{ public void destroy() { } public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request。 HttpServletResponse res = (HttpServletResponse) response。 String method = ()。 if(!().equals(POST) amp。amp。 !().equals(GET)){ ()。 return。 } (request, response)。 } public void init(FilterConfig filterConfig) throws ServletException { }}J filter filternameMethodFilter/filtername filterclass /filterclass /filter filtermapping filternameMethodFilter/filtername urlpattern/*/urlpattern /filtermapping注意：此漏洞僅在Tomcat服務(wù)器中存在。 BEA WebLogic 管理界面 描述WebLogic 服務(wù)器包含若干管理用途的應(yīng)用程序：/AdminMain、/AdminProps、/AdminRealm、 和 /console/。 攻擊者可以訪問其中一或多個應(yīng)用程序，也許能夠更改 Web 站點的配置。 安全級別中。 安全風(fēng)險可能會升級用戶特權(quán)并通過 Web 應(yīng)用程序獲取管理許可權(quán)。 解決方案限制訪問管理控制臺，倘若不需要，請將其除去。 技術(shù)實現(xiàn)u 將“console”改名，改一個和業(yè)務(wù)相關(guān)的標(biāo)識名字即可。 實現(xiàn)步驟：（1） 進(jìn)入管理控制臺，地址格式為：://ip:端口/console（2） 點擊左邊的domain，如下圖，點mydomain（3） 點擊進(jìn)入右邊的配置－－常規(guī)選項卡，然后點顯示，出現(xiàn)高級選項，如下圖（4） 修改上圖中的控制臺上下文路徑，如vseafConsole，然后點擊右下角的應(yīng)用按鈕，然后重新啟動服務(wù)器即可。（5） 訪問管理控制臺的地址格式變?yōu)椋?//ip:端口/vseafConsoleu 禁用控制臺（不建議） 實現(xiàn)步驟： 此方案的實現(xiàn)步驟幾乎與上個技術(shù)方案相同。唯一不同的是步驟四，把上圖中的已啟用控制臺前面的勾去掉，然后點擊右下角的應(yīng)用按鈕，然后重新啟動服務(wù)器即可。此時，訪問控制臺地址變?yōu)椴豢稍L問。所以此方法不建議使用，只作為了解。 STRUTS 2 漏洞 描述Struts2的核心是使用的WebWork，處理Action時通過ParametersInterceptor（參數(shù)過濾器）調(diào)用Action的getter/setter方法來處理的參數(shù)，它將每個參數(shù)聲明為一個ONGL語句。例如：請求參數(shù)? ? ?=AILKamp。level=no1經(jīng)ONGL轉(zhuǎn)義后，在Action中執(zhí)行代碼如下：? ? (AILK)?? ? setLevel(no1)??為了防范篡改服務(wù)器端對象，XWork的ParametersInterceptor不允許參數(shù)名中出現(xiàn)“”字符，但如果使用unicode字符串表示\，攻擊者就可以繞過保護(hù)，修改保護(hù)Java方式執(zhí)行的值。例如：在請求Action中帶上如下參數(shù)：(39。\_memberAccess[\39。allowStaticMethodAccess\39。]39。)(meh)=tr amp。(aaa)((39。\context[\39。\39。]\=\foo39。)(\foo\=new%(false)))amp。(asdf)((39。\(1)39。)(\rt\=@ @getRuntime()))=1可以停止當(dāng)前Action所在的J2EE服務(wù)器（Tomcat, Resin, WebLogic，……）。經(jīng)過我的測試，利用該漏洞已經(jīng)順利地執(zhí)行了mkdir, rm操作。 安全級別高。 安全風(fēng)險可能會框架漏洞利用來獲取WEB應(yīng)用程序的管理許可權(quán)。 解決方案： 或者修改對應(yīng)jar中的ongl處理邏輯,然后編譯打包替換舊的文件。 技術(shù)實現(xiàn)為了防止攻擊者調(diào)用任意方法任意參數(shù) 把標(biāo)志 is set to true and the 設(shè)置為true 和SecurityMemberAccess field allowStaticMethodAccess is set to false by成員訪問安全域“允許靜態(tài)的方法訪問”設(shè)置為falsedefault. Also, to prevent access to context variables an improved character同時為了防止訪問上下文變量和提供whitelist for paramteter names is applied in XWork39。s ParametersInterceptor since白名單 參數(shù)名 請求 XWork 的參數(shù) 4不安全的flash參數(shù)設(shè)置 描述Flash的AllowScriptAccess參數(shù)可以是“always”、”sameDomain”或“never”。三個可選值中，“always” 表示Flash文件可以與其嵌入到的 HTML 頁進(jìn)行通信，即使該Flash文件來自不同于HTML頁的域也可以。當(dāng)AllowScriptAccess為always時，表明嵌入的第三方Flash文件可以執(zhí)行代碼。 安全級別高。 安全風(fēng)險攻擊者此時就可以利用該缺陷嵌入任意第三方Flash文件而執(zhí)行惡意代碼。 解決方案將AllowScriptAccess參數(shù)設(shè)置為SameDomain。 技術(shù)實現(xiàn) 在flash的屬性里面將allowscriptaccess參數(shù)改為samedomain就可以。3 系統(tǒng)安全隱患及預(yù)防措施 4 數(shù)據(jù)庫安全隱患及預(yù)防措施 5 應(yīng)用程序安全隱患及預(yù)防措施