web安全验收漏洞修复总结(共7篇).docxVIP

web安全验收漏洞修复总结(共7篇) 　　EMA服务管理平台二期扩容安全验收　　漏洞修复总结　　XX年5月　　目录　　1　　2WEB安全介绍1SQL注入、盲注1　　SQL注入、盲注概述1　　　　3安全风险及原因2应用程序解决方案4APPSCAN扫描建议2会话标识未更新7　　　　会话标识未更新概述7安全风险及原因分析8应用程序解决方案8APPSCAN扫描建议8　　4已解密登录请求9　　　　已解密登录请求概述9安全风险及原因分析9应用程序解决方案9APPSCAN扫描建议9　　5跨站点请求伪造11　　　　跨站点请求伪造概述11安全风险及原因分析12应用程序解决方案13APPSCAN扫描建议13　　6不充分账户封锁13　　　　不充分账户封锁概述13安全风险及原因分析13应用程序解决方案14APPSCAN扫描建议14　　7启用不安全HTTP方法14　　　　启用不安全HTTP方法概述14安全风险及原因分析15应用程序解决方案15APPSCAN扫描建议15　　8HTTP注释敏感信息16　　HTTP注释敏感信息概述16　　安全风险及原因分析16应用程序解决方案17APPSCAN扫描建议16　　9发现电子邮件地址模式17　　9.1　　　　10发现电子邮件地址模式概述17安全风险及原因分析17应用程序解决方案17APPSCAN扫描建议17通过框架钓鱼20　　通过框架钓鱼概述20　　安全风险及原因分析20　　APPSCAN扫描建议21　　应用程序解决方案23　　　　11检查到文件替代版本25　　检查到文件替代版本概述25　　安全风险及原因分析26　　APPSCAN扫描建议26　　应用程序解决方案26　　　　1Web安全介绍目前很多业务都依赖于互联网，例如说网上银行、网络购物、网游等，很多恶意攻击者出于不良的目的对Web服务器进行攻击，想方设法通过各种手段获取他人的个人账户信息谋取利益。正是因为这样，Web业务平台最容易遭受攻击。同时，对Web服务器的攻击也可以说是形形色色、种类繁多，常见的有挂马、SQL注入、缓冲区溢出、嗅探、利用IIS等针对Webserver漏洞进行攻击。　　一方面，由于TCP/IP的设计是没有考虑安全问题的，这使得在网络上传输的数据是没有任何安全防护的。攻击者可以利用系统漏洞造成系统进程缓冲区溢出，攻击者可能获得或者提升自己在有漏洞的系统上的用户权限来运行任意程序，甚至安装和运行恶意代码，窃取机密数据。而应用层面的软件在开发过程中也没有过多考虑到安全的问题，这使得程序本身存在很多漏洞，诸如缓冲区溢出、SQL注入等等流行的应用层攻击，这些均属于在软件研发过程中疏忽了对安全的考虑所致。　　另一方面，用户对某些隐秘的东西带有强烈的好奇心，一些利用木马或病毒程序进行攻击的攻击者，往往就利用了用户的这种好奇心理，将木马或病毒程序捆绑在一些艳丽的图片、音视频及免费软件等文件中，然后把这些文件置于某些网站当中，再引诱用户去单击或下载运行。或者通过电子邮件附件和QQ、MSN等即时聊天软件，将这些捆绑了木马或病毒的文件发送给用户，利用用户的好奇心理引诱用户打开或运行这些文件、　　2SQL注入、盲注　　SQL注入、盲注概述　　Web应用程序通常在后端使用数据库，以与企业数据仓库交互。查询数据库事实上的标准语言是SQL。Web应用程序通常会获取用户输入，将它并入SQL查询中，然后发送到后端数据库。接着应用程序便处理查询结果，有时会向用户显示结果。如果应用程序对用户的输入处理不够小心，攻击者便可以利用这种操作方式。在此情况下，攻击者可以注入恶意的数据，当该数据并入SQL查询中时，就将查询的原始语法更改得面目全非。例如，如果应用程序使用用户的输入来查询用户帐户的数据库表，以认证用户，而攻击者能够将恶意数据注入查询的用户名部分，查询便可能更改成　　完全不同的数据复制查询，可能是修改数据库的查询，或在数据库服务器上运行Shell命令的查询。　　安全风险及原因　　高风险漏洞，攻击者可能会查看、修改或删除数据库条目和表　　原因：未对用户输入正确执行危险字符清理　　AppScan扫描建议　　若干问题的补救方法在于对用户输入进行清理。　　通过验证用户输入未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意SQL查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令，等等。　　建议过滤出所有以下字符：　　[1]|　　[2]　　[3];　　[4]$　　[5]%　　[6]@　　[7]　　[8]　　[9]\　　[10]\　　[11]　　[12]()　　[13]+　　[14]CR　　[15]L