漏洞扫描bug

bug反馈 未结 240
飞翔的马桶
飞翔的马桶 VIP3 2020-12-04 11:20:38
收藏
产品:vue 版本:6.58
1、SQL 注入漏洞:对网站各功能参数进行注入测试,查看是否存在 sql 注入漏洞 漏洞危害: 攻击者利用注入漏洞,通过构造特殊的语句,可进行后台数据库操作并插入木马,以获取整个网站和数据库的控制权限,包括修改删除网站页面、窃取数据库敏感信息;甚至以网站为跳板,获取整个内网服务器控制权限。 安全建议: 一、使用预编译 SQL 查询方式进行数据库查询。 1、使用 JDBC 方式 2、使用 J2EE 持久层框架预编译方法 二、对用户输入的数据格式进行严格要求,比如编号只能输入数字就只能输入数字,只能输入字母就只能输入字符,并且对数据的长度进行限制,通过对输入数据的格式和长度限制也能一定程序的避免 SQL 注入、跨站脚本等漏洞的攻击。 三、使用 Filter(单独写一个过滤函数)拦截所有数据请求并对所有提交的参数进行检查,如果发现存在相关的敏感关键字时,停止执行,即可对安全攻击进行有效防护。(此方式如果过滤的字符不完善,可能被绕过) [hr] 2、XSS 跨站漏洞:对核心业务 http 请求中的各参数进行 xss 测试 问题说明: :经测试,发现目标系统在邮件功能处,未对 javascript 代码进行过滤。或实体化编码等操作,导致邮件功能存在存储型 xss. 漏洞危害:储存型 XSS,又称持久型 XSS,它和反射型 XSS 最大的不同就是,攻击脚本将被永久地存放在目标服务器的数据库或文件中。这种攻击多见于论坛、SNS 社交网站、微博等系统,攻击者在发帖、发表文章、发微博的过程中,将恶意脚本连同正常信息一起注入到内容之中,发送到网站服务器储存下来,恶意脚本也永久地被存放在论坛服务器的后端储存器中,当其他用户浏览这个被注入了恶意脚本的内容时,恶意脚本则会在他们的浏览器中得到执行,从而实现攻击目的。 安全建议: 一、设置 Httponly 与 secure,防止设置了该标志的 cookie 被 JavaScript读取。httponly 无法完全的防御 xss 漏洞,它只是规定了不能使用 js 去获取 cookie 的内容,因此它只能防御利用 xss 进行 cookie 劫持的问题。 Httponly 是在 set-cookie 时标记的,可对单独某个参数标记也可对全部参数标记。由于设置 httponly 的方法比较简单,使用也很灵活,并且对防御 cookie 劫持非常有用,因此已经渐渐成为一种默认的标准。 二、对输入的参数中的特殊字符进行转义或者编码,如:“’、”、<、>、(、=、.”等特殊字符。 三、编码转义,编码方式有很多,比如 html 编码、url 编码、16 进制编码、javascript 编码等。在处理用户输入时,除了用 xss filter 的方式过滤一些敏感字符外,还需要配合编码,将一些敏感字符通过编码的方式改变原来的样子,从而不能被浏览器当成 js 代码执行。 四、处理富文本,有些网页编辑器允许用户提交一些自定义的 html 代码,称之为”富文本”。想要在富文本处防御 xss 漏洞,最简单有效的方式就是控制用户能使用的标签,限制为只能使用 a、div 等安全的标签。五、xss 漏洞本质上是一种 html 注入,也就是将 html 代码注入到网页中。那么其防御的根本就是在将用户提交的代码显示到页面上时做好一系列的过滤与转义。 [hr] 3、任意文件上传漏洞:检查网站文件上传写入模块是否允许向服务器写入 webshell 文件 漏洞 URL :sys/user/imageUpload 问题说明: :经测试,发现目标[hr]系统在用户上传头像处,仅做了前端图片校验,未对用户上传文件内容判断,存在任意文件上传(经测试无法解析)。 漏洞危害:攻击者利用此漏洞,可直接上传木马文件,以获取整个网站和数据库的控制权限,包括修改删除网站页面、窃取数据库敏感信息;甚至以网站为跳板,获取整个内网服务器控制权限。 安全建议: 一、上传文件时,服务端采用白名单形式限制文件上传的后缀名称,只允许上传“jpg、png、gif、bmp 、doc、docx、rar、zip”等文件。 二、 使用静态存储上传的文件。 [hr] 4、身份认证漏洞:检查用户认证方式是否安全,登陆口令是否可被爆破 [hr] 5、http 明文传输:检查是否使用 https 加密传输 漏洞 URL :/sys/login 问题说明 :经测试,发现目标系统登录未对数据包进行处理,使用明文传输数据。 漏洞危害:HTTP 明文传输(HTTP transmission without encryption),是一种常见的 Web 安全问题,由于 HTTP 协议通过明文的形式,对数据不进行任何处理直接进行传输,因此,当遭到“中间人”进行嗅探攻击时,传输的所有内容被攻击者完全获取,造成如用户口令、敏感信息被盗等安全问题。 安全建议: 一、使用安全的 HTTPS 协议,并对敏感(如口令,个人信息)数据进行加密后传输。使用 POST 方式传输加密后的敏感数据。 [hr] 6、SSRF 漏洞 URL : 1、/database/datalink/dataSource/test 2、/jsxt-data/mailCompose/save 问题说明 :经测试,发现目标系统在新建数据库,以及邮箱抓取图片等操作存在 SSRF。 漏洞危害:攻击者利用此漏洞,可以利用 Web 服务器发起请求(HTTP、FTP、HTTPS 等等),可以突破内外网访问控制、部分安全控制措施,如果进一步利用可获取内网服务器权限及敏感数据。 安全建议: 一、应当严格验证请求的地址,限制请求的协议、请求的域名或 IP 地址、请求的应用目录等。 [hr] 7、 页面访问未授权 漏洞 URL :/druid/index.html、swagger-ui.html 问题说明:无需登录可直接访问这些页面 安全建议: 一、 应对该页面做权限校验,只允许登录过后访问。 二、 若非必要页面,也可进行删除操作。
回帖
  • 消灭零回复