【正文】 技術(shù)實(shí)現(xiàn) 在flash的屬性里面將allowscriptaccess參數(shù)改為samedomain就可以。 安全風(fēng)險(xiǎn)攻擊者此時(shí)就可以利用該缺陷嵌入任意第三方Flash文件而執(zhí)行惡意代碼。當(dāng)AllowScriptAccess為always時(shí)，表明嵌入的第三方Flash文件可以執(zhí)行代碼。s ParametersInterceptor since白名單 參數(shù)名 請(qǐng)求 XWork 的參數(shù) 4不安全的flash參數(shù)設(shè)置 描述Flash的AllowScriptAccess參數(shù)可以是“always”、”sameDomain”或“never”。 解決方案： 或者修改對(duì)應(yīng)jar中的ongl處理邏輯,然后編譯打包替換舊的文件。 安全級(jí)別高。)(\rt\= getRuntime()))=1可以停止當(dāng)前Action所在的J2EE服務(wù)器（Tomcat, Resin, WebLogic，……）。(asdf)((39。]\=\foo39。\context[\39。)(meh)=tr amp。allowStaticMethodAccess\39。例如：在請(qǐng)求Action中帶上如下參數(shù)：(39。例如：請(qǐng)求參數(shù)? ? ?=AILKamp。所以此方法不建議使用，只作為了解。唯一不同的是步驟四，把上圖中的已啟用控制臺(tái)前面的勾去掉，然后點(diǎn)擊右下角的應(yīng)用按鈕，然后重新啟動(dòng)服務(wù)器即可。 實(shí)現(xiàn)步驟：（1） 進(jìn)入管理控制臺(tái)，地址格式為：://ip:端口/console（2） 點(diǎn)擊左邊的domain，如下圖，點(diǎn)mydomain（3） 點(diǎn)擊進(jìn)入右邊的配置－－常規(guī)選項(xiàng)卡，然后點(diǎn)顯示，出現(xiàn)高級(jí)選項(xiàng)，如下圖（4） 修改上圖中的控制臺(tái)上下文路徑，如vseafConsole，然后點(diǎn)擊右下角的應(yīng)用按鈕，然后重新啟動(dòng)服務(wù)器即可。 解決方案限制訪問(wèn)管理控制臺(tái)，倘若不需要，請(qǐng)將其除去。 安全級(jí)別中。 BEA WebLogic 管理界面 描述WebLogic 服務(wù)器包含若干管理用途的應(yīng)用程序：/AdminMain、/AdminProps、/AdminRealm、 和 /console/。 } (request, response)。 !().equals(GET)){ ()。 if(!().equals(POST) amp。 HttpServletResponse res = (HttpServletResponse) response。 技術(shù)實(shí)現(xiàn)u 添加過(guò)濾器，只允許POST和GET兩個(gè)HTTP方法訪問(wèn)系統(tǒng)。 安全風(fēng)險(xiǎn)可能會(huì)在 Web 服務(wù)器上上載、修改或刪除 Web 頁(yè)面、腳本和文件。添加 這樣的話，一旦出現(xiàn)404錯(cuò)誤，如下：如果出現(xiàn)500錯(cuò)誤，如下： 啟用了不安全的 HTTP 方法 描述Allow 頭顯示危險(xiǎn)的 HTTP 選項(xiàng)是已允許的，如： DELETE SEARCH COPY MOVE 等，這表示在服務(wù)器上啟用了 WebDAV，可能允許未授權(quán)的用戶對(duì)其進(jìn)行利用。 技術(shù)實(shí)現(xiàn)養(yǎng)成良好的編碼習(xí)慣，屏蔽錯(cuò)誤信息，防止信息泄露，將默認(rèn)的錯(cuò)誤信息替換成一個(gè)事先定制好的Html頁(yè)面，這個(gè)頁(yè)面只顯示一條簡(jiǎn)單的錯(cuò)誤消息但不提供任何細(xì)節(jié)。例如，如果應(yīng)用程序預(yù)期值在 10..99 范圍內(nèi)，那么就該確保該值確實(shí)是數(shù)字，且在 10..99 范圍內(nèi)。 （3） 確保值符合預(yù)期范圍和類型。 （2）應(yīng)用程序應(yīng)驗(yàn)證其輸入是否由有效字符組成（解碼后）。 解決方案（1）檢查所有的請(qǐng)求，以了解所有預(yù)期的參數(shù)和值是否存在。 安全級(jí)別中。這可能會(huì)泄漏很有用的信息，如堆棧跟蹤。對(duì)于攻擊者而言，這是一種頗有成效的攻擊方法。（分號(hào)） 技術(shù)實(shí)現(xiàn)參見(jiàn) 技術(shù)實(shí)現(xiàn)。（單引號(hào)）[2] （引號(hào)）[3] \39。當(dāng)使用存儲(chǔ)過(guò)程時(shí)，請(qǐng)利用 ADO 命令對(duì)象來(lái)實(shí)施它們，以強(qiáng)化變量類型。 解決方案A確保用戶輸入的值和類型（如 Integer、Date 等）有效，且符合應(yīng)用程序預(yù)期。 安全級(jí)別高。 }}J filter filternameCsrfFilter/filtername filterclass /filterclass initparam paramnameTokenTimeOut/paramname paramvalue15/paramvalue /initparam /filter filtermapping filternameCsrfFilter/filtername urlpattern*.jsp/urlpattern /filtermapping 注意：這是目前唯一能解決此漏洞的可行方案，但是有一定的工作量，且對(duì)系統(tǒng)效率也有輕微影響，是否有必要修改，值得商榷。 }else{ if (isTokenValid) { (token)。 if((token)){ if (isTokenValid) { (token)。 } } return isTimeout。 long interval = nowTime tokenTime。 } while (()) { String key = (String) ()。 if((nowTime sessionTokenTime) = term){ isTimeout = true。 long nowTime = ()。 long term = (tokenTimeout) * 60 * 1000。 return token。 String token = nowTime +:+ ()。 + (b2 10)))。 else ((char) (39。039。 + (b1 10)))。 else ((char) (39。039。 0x0f)。 0xf0) 4)。 j 。 (random)。 StringBuffer buffer = new StringBuffer()。 public static final String CSRF_NONCE_REQUEST_PARAM = CSRF_TOKEN。 } public void destroy() { }}J FilterUtil類代碼， sql注入技術(shù)實(shí)現(xiàn)中的輔助類代碼。 return。(1)。無(wú)效的安全標(biāo)識(shí)符，請(qǐng)重新刷新當(dāng)前頁(yè)面!39。javascript39。 charset=GBK)。 (, expectedNonce)。 (, expectedNonce)。 String expectedNonce = obj == null ?:(String)obj。 if (!(notProtect, (req))) { String previousNonce = ()。 } } public void doFilter(ServletRequest request, ServletResponse response, FilterChain filterChain) throws IOException, ServletException { HttpServletRequest req = (HttpServletRequest) request。 tokenTimeout = (TokenTimeOut)。 // 不受保護(hù)的資源集合 private String tokenTimeout。（4） 添加CSRF過(guò)濾器，該過(guò)濾器攔截符合過(guò)濾規(guī)則的請(qǐng)求，取得表單的token值，和服務(wù)上存儲(chǔ)的值比較，如果一樣，就放行，如果不一樣，就自動(dòng)跳轉(zhuǎn)錯(cuò)誤提示頁(yè)面。格式如下：=39。（2） 對(duì)于Post請(qǐng)求的頁(yè)面，都需要添加一個(gè)固定名字的隱藏域，值為去服務(wù)器獲取的隨機(jī)值。u 要求所有POST請(qǐng)求都包含一個(gè)隨機(jī)值。 解決方案u 只允許GET請(qǐng)求檢索數(shù)據(jù)，但是不允許它修改服務(wù)器上的任 何數(shù)據(jù)。 安全級(jí)別中。你這可以這么理解CSRF攻擊：攻擊者盜用了你的身份，以你的名義發(fā)送惡意請(qǐng)求。 解決方案u 在你的WEB瀏覽器上禁用javascript腳本 u 開(kāi)發(fā)者要仔細(xì)審核代碼，對(duì)提交輸入數(shù)據(jù)進(jìn)行有效檢查 技術(shù)實(shí)現(xiàn)參見(jiàn) 技術(shù)實(shí)現(xiàn)中的過(guò)濾器技術(shù)。 安全級(jí)別高。 跨站點(diǎn)腳本攻擊 描述XSS又叫CSS (Cross Site Script) ，跨站腳本攻擊。因?yàn)檫^(guò)濾器技術(shù)雖然能確保數(shù)據(jù)的正確性，但同時(shí)也存在著過(guò)濾不嚴(yán)或過(guò)濾太嚴(yán)的問(wèn)題。 注意：u 有些聰明的攻擊者在攻擊的時(shí)候會(huì)把一些敏感字符轉(zhuǎn)化成URL編碼（即字符的ASCII的16進(jìn)制）來(lái)饒過(guò)檢查。|。 } } } } return isExclude。 !resources[i].equals()) if ((resources[i].trim()) = 0) { isExclude = true。 i++) { if (null != resources[i] amp。 if (null != resources) { for (int i = 0。amp。 } public static boolean isContainUrl(String urlList, String url) { boolean isExclude = false。 !().equals()) { url = url + ? + queryString。 if (null != queryString amp。 }}輔助類如下：public class FilterUtils { public static S