【正文】 paramnameTokenTimeOut/paramname paramvalue15/paramvalue /initparam /filter filtermapping filternameCsrfFilter/filtername urlpattern*.jsp/urlpattern /filtermapping 注意：這是目前唯一能解決此漏洞的可行方案，但是有一定的工作量，且對系統(tǒng)效率也有輕微影響，是否有必要修改，值得商榷。 發(fā)現(xiàn)數(shù)據(jù)庫錯(cuò)誤模式 描述“SQL 注入”以外的攻擊所觸發(fā)的“數(shù)據(jù)庫錯(cuò)誤”， 插入的危險(xiǎn)字符滲透了應(yīng)用程序并到達(dá) SQL 查詢本身（即應(yīng)用程序易受到 SQL 注入攻擊）。 安全級(jí)別高。 安全風(fēng)險(xiǎn)可能會(huì)查看、修改或刪除數(shù)據(jù)庫條目和表。 解決方案A確保用戶輸入的值和類型（如 Integer、Date 等）有效，且符合應(yīng)用程序預(yù)期。 B. 利用存儲(chǔ)過程，將數(shù)據(jù)訪問抽象化，讓用戶不直接訪問表或視圖。當(dāng)使用存儲(chǔ)過程時(shí)，請利用 ADO 命令對象來實(shí)施它們，以強(qiáng)化變量類型。 C. 清理輸入以排除上下文更改符號(hào)，例如： [1] 39。（單引號(hào)）[2] （引號(hào)）[3] \39。（反斜線轉(zhuǎn)義單引號(hào)）[4] \（反斜杠轉(zhuǎn)義引號(hào)）[5] )（結(jié)束括號(hào)）[6] 。（分號(hào)） 技術(shù)實(shí)現(xiàn)參見 技術(shù)實(shí)現(xiàn)。 應(yīng)用程序錯(cuò)誤 描述如果攻擊者通過探測Web 頁來找尋引起異常的各種情況，則出現(xiàn)信息泄漏攻擊。對于攻擊者而言，這是一種頗有成效的攻擊方法。因?yàn)楫惓＜?xì)節(jié)信息常以 HTML 的形式返回并顯示在瀏覽器中。這可能會(huì)泄漏很有用的信息，如堆棧跟蹤。堆棧跟蹤包含數(shù)據(jù)庫連接字符串、數(shù)據(jù)庫名、數(shù)據(jù)庫方案信息、SQL 語句以及操作系統(tǒng)和平臺(tái)版本。 安全級(jí)別中。 安全風(fēng)險(xiǎn)攻擊者可從錯(cuò)誤信息判斷出SQL注入或其他攻擊方式的漏洞。 解決方案（1）檢查所有的請求，以了解所有預(yù)期的參數(shù)和值是否存在。當(dāng)參數(shù)缺失時(shí)，發(fā)出適當(dāng)?shù)腻e(cuò)誤消息，或使用缺省值。 （2）應(yīng)用程序應(yīng)驗(yàn)證其輸入是否由有效字符組成（解碼后）。 例如，應(yīng)拒絕包含空字節(jié)（編碼為 %00）、單引號(hào)、引號(hào)等的輸入值。 （3） 確保值符合預(yù)期范圍和類型。 如果應(yīng)用程序預(yù)期特定參數(shù)具有特定集合中的值，那么該應(yīng)用程序應(yīng)確保其接收的值確實(shí)屬于該集合。例如，如果應(yīng)用程序預(yù)期值在 10..99 范圍內(nèi)，那么就該確保該值確實(shí)是數(shù)字，且在 10..99 范圍內(nèi)。（4）請勿在生產(chǎn)環(huán)境中輸出調(diào)試錯(cuò)誤消息和異常。 技術(shù)實(shí)現(xiàn)養(yǎng)成良好的編碼習(xí)慣，屏蔽錯(cuò)誤信息，防止信息泄露，將默認(rèn)的錯(cuò)誤信息替換成一個(gè)事先定制好的Html頁面，這個(gè)頁面只顯示一條簡單的錯(cuò)誤消息但不提供任何細(xì)節(jié)。例如：可以將瀏覽器的40500等錯(cuò)誤以一個(gè)友好的界面展現(xiàn)出來。，添加 這樣的話，一旦出現(xiàn)404錯(cuò)誤，如下：如果出現(xiàn)500錯(cuò)誤，如下： 啟用了不安全的 HTTP 方法 描述Allow 頭顯示危險(xiǎn)的 HTTP 選項(xiàng)是已允許的，如： DELETE SEARCH COPY MOVE 等，這表示在服務(wù)器上啟用了 WebDAV，可能允許未授權(quán)的用戶對其進(jìn)行利用。 安全級(jí)別中。 安全風(fēng)險(xiǎn)可能會(huì)在 Web 服務(wù)器上上載、修改或刪除 Web 頁面、腳本和文件。 解決方案如果服務(wù)器不需要支持 WebDAV，請務(wù)必禁用它，或禁止不必要的 HTTP 方法（動(dòng)詞）。 技術(shù)實(shí)現(xiàn)u 添加過濾器，只允許POST和GET兩個(gè)HTTP方法訪問系統(tǒng)。J 過濾器代碼 public class HttpMethodFilter implements Filter{ public void destroy() { } public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request。 HttpServletResponse res = (HttpServletResponse) response。 String method = ()。 if(!().equals(POST) amp。amp。 !().equals(GET)){ ()。 return。 } (request, response)。 } public void init(FilterConfig filterConfig) throws ServletException { }}J filter filternameMethodFilter/filtername filterclass /filterclass /filter filtermapping filternameMethodFilter/filtername urlpattern/*/urlpattern /filtermapping注意：此漏洞僅在Tomcat服務(wù)器中存在。 BEA WebLogic 管理界面 描述WebLogic 服務(wù)器包含若干管理用途的應(yīng)用程序：/AdminMain、/AdminProps、/AdminRealm、 和 /console/。 攻擊者可以訪問其中一或多個(gè)應(yīng)用程序，也許能夠更改 Web 站點(diǎn)的配置。 安全級(jí)別中。 安全風(fēng)險(xiǎn)可能會(huì)升級(jí)用戶特權(quán)并通過 Web 應(yīng)用程序獲取管理許可權(quán)。 解決方案限制訪問管理控制臺(tái)，倘若不需要，請將其除去。 技術(shù)實(shí)現(xiàn)u 將“console”改名，改一個(gè)和業(yè)務(wù)相關(guān)的標(biāo)識(shí)名字即可。 實(shí)現(xiàn)步驟：（1） 進(jìn)入管理控制臺(tái)，地址格式為：://ip:端口/console（2） 點(diǎn)擊左邊的domain，如下圖，點(diǎn)mydomain（3） 點(diǎn)擊進(jìn)入右邊的配置－－常規(guī)選項(xiàng)卡，然后點(diǎn)顯示，出現(xiàn)高級(jí)選項(xiàng)，如下圖（4） 修改上圖中的控制臺(tái)上下文路徑，如vseafConsole，然后點(diǎn)擊右下角的應(yīng)用按鈕，然后重新啟動(dòng)服務(wù)器即可。（5） 訪問管理控制臺(tái)的地址格式變?yōu)椋?//ip:端口/vseafConsoleu 禁用控制臺(tái)（不建議） 實(shí)現(xiàn)步驟： 此方案的實(shí)現(xiàn)步驟幾乎與上個(gè)技術(shù)方案相同。唯一不同的是步驟四，把上圖中的已啟用控制臺(tái)前面的勾去掉，然后點(diǎn)擊右下角的應(yīng)用按鈕，然后重新啟動(dòng)服務(wù)器即可。此時(shí)，訪問控制臺(tái)地址變?yōu)椴豢稍L問。所以此方法不建議使用，只作為了解。 STRUTS 2 漏洞 描述Struts2的核心是使用的WebWork，處理Action時(shí)通過ParametersInterceptor（參數(shù)過濾器）調(diào)用Action的getter/setter方法來處理的參數(shù)，它將每個(gè)參數(shù)聲明為一個(gè)ONGL語句。例如：請求參數(shù)? ? ?=AILKamp。level=no1經(jīng)ONGL轉(zhuǎn)義后，在Action中執(zhí)行代碼如下：? ? (AILK)?? ? setLevel(no1)??為了防范篡改服務(wù)器端對象，XWork的ParametersInterceptor不允許參數(shù)名中出現(xiàn)“”字符，但如果使用unicode字符串表示\，攻擊者就可以繞過保護(hù)，修改保護(hù)Java方式執(zhí)行的值。例如：在請求Action中帶上如下參數(shù)：(39。\_memberAccess[\39。allowStaticMethodAccess\39。]39。)(meh)=tr amp。(aaa)((39。\context[\39。\39。]\=\foo39。)(\foo\=new%(false)))amp。(asdf)((39。\(1)39。)(\rt\=@ @getRuntime()))=1可以停止當(dāng)前Action所在的J2EE服務(wù)器（Tomcat, Resin, WebLogic，……）。經(jīng)過我的測試，利用該漏洞已經(jīng)順利地執(zhí)行了mkdir, rm操作。 安全級(jí)別高。 安全風(fēng)險(xiǎn)可能會(huì)框架漏洞利用來獲取WEB應(yīng)用程序的管理許可權(quán)。 解決方案： 或者修改對應(yīng)jar中的ongl處理邏輯,然后編譯打包替換舊的文件。 技術(shù)實(shí)現(xiàn)為了防止攻擊者調(diào)用任意方法任意參數(shù) 把標(biāo)志 is set to true and the 設(shè)置為true 和SecurityMemberAccess field allowStaticMethodAccess is set to false by成員訪問安全域“允許靜態(tài)的方法訪問”設(shè)置為falsedefault. Also, to prevent access to context variables an improved character同時(shí)為了防止訪問上下文變量和提供whitelist for paramteter names is applied in XWork39。s ParametersInterceptor since白名單 參數(shù)名 請求 XWork 的參數(shù) 4不安全的flash參數(shù)設(shè)置 描述Flash的AllowScriptAccess參數(shù)可以是“always”、”sameDomain”或“never”。三個(gè)可選值中，“always” 表示Flash文件可以與其嵌入到的 HTML 頁進(jìn)行通信，即使該Flash文件來自不同于HTML頁的域也可以。當(dāng)AllowScriptAccess為always時(shí)，表明嵌入的第三方Flash文件可以執(zhí)行代碼。 安全級(jí)別高。 安全風(fēng)險(xiǎn)攻擊者此時(shí)就可以利用該缺陷嵌入任意第三方Flash文件而執(zhí)行惡意代碼。 解決方案將AllowScriptAccess參數(shù)設(shè)置為SameDomain。 技術(shù)實(shí)現(xiàn) 在flash的屬性里面將allowscriptaccess參數(shù)改為samedomain就可以。3 系統(tǒng)安全隱患及預(yù)防措施 4 數(shù)據(jù)庫安全隱患及預(yù)防措施 5 應(yīng)用程序安全隱患及預(yù)防措施