安全检查中常见问题.docVIP

目 录 TOC \o 1-3 \h \z \u HYPERLINK \l _Toc209931119 一、服务器环境 PAGEREF _Toc209931119 \h 1 HYPERLINK \l _Toc209931120 二、WEB应用层检测 PAGEREF _Toc209931120 \h 1 HYPERLINK \l _Toc209931121 1、SQL注入漏洞、跨站脚本 PAGEREF _Toc209931121 \h 1 HYPERLINK \l _Toc209931122 2、源代码漏洞 PAGEREF _Toc209931122 \h 3 HYPERLINK \l _Toc209931123 3、列目录 PAGEREF _Toc209931123 \h 3 HYPERLINK \l _Toc209931124 4、JSP文件上传 PAGEREF _Toc209931124 \h 3 HYPERLINK \l _Toc209931125 5、拒绝服务，错误页面转向 PAGEREF _Toc209931125 \h 4 HYPERLINK \l _Toc209931126 6、补充说明 PAGEREF _Toc209931126 \h 4 HYPERLINK \l _Toc209931127 三、操作系统 PAGEREF _Toc209931127 \h 4 HYPERLINK \l _Toc209931128 1、身份鉴别 PAGEREF _Toc209931128 \h 4 HYPERLINK \l _Toc209931129 2、自主访问控制 PAGEREF _Toc209931129 \h 5 HYPERLINK \l _Toc209931130 3、安全审计 PAGEREF _Toc209931130 \h 6 HYPERLINK \l _Toc209931131 4、剩余信息保护 PAGEREF _Toc209931131 \h 6 HYPERLINK \l _Toc209931132 5、资源控制 PAGEREF _Toc209931132 \h 7 HYPERLINK \l _Toc209931133 四、ORACLE数据库检测 PAGEREF _Toc209931133 \h 8 HYPERLINK \l _Toc209931134 五、SQL数据库检测 PAGEREF _Toc209931134 \h 9 一、服务器环境 系统软件：Windows Server2003 数据库管理系统：ORACLE 9i JDK版本：JDK1.42 应用服务器：TOMCAT5.0 以及Apache2 二、WEB应用层检测 1、SQL注入漏洞、跨站脚本 对于网站中所有接收参数的动态页面，都要进行过滤，过滤的方法如下： public class SecurityTool { // summary /// 用于检测前台传过来的参数是否有安全隐患 /// 目前主要检测sql注入 /// 如果有发现特殊字符则删除 /// /summary /// param name=param前台传入的参数/param /// returns安全的参数/returns public static String CheckRequest(String param) { if(param==null||param.equals()) return param; //检查sql注入的特殊字符 if(param.indexOf(;)-1) { param=param.replaceAll(,); } if(param.indexOf()-1) { param=param.replaceAll(,); } if(param.indexOf(exec)-1) { param=param.replaceAll(exec,); } if(param.indexOf(and)-1) { param=param.replaceAll(and,); } if(param.indexOf(or)-1) { param=param.replaceAll(or,); } if(param.indexOf(:)-1) { param=param.replaceAll(:,); } if(param.indexOf(=)-1) { param=param.replaceAll(=,); } if(param.indexOf( )