码迷,mamicode.com
首页 > 其他好文 > 详细

漏洞扫描系列总结

时间:2018-05-14 18:11:31      阅读:215      评论:0      收藏:0      [点我收藏+]

标签:str   输出   提交   font   密码   注入   enum   传输   16px   

最近,客户那边返回的漏洞好多啊,我都好无力啊。好悲催,幸好有健哥的指导,我才能跨过死结!这里做一个小总结

漏洞三大特点:xss跨站,sql注入,上传漏洞

处理xss最好的办法是 实体化用户提交的数据 过滤的话一旦被绕过就会导致漏洞出现 
最好的修复办法是实体化用户能控制的输出点

我们的处理是过滤器,过滤器里对所有链接过来的数据参数进行过滤,js,sql,html都进行过滤

 
  1. values[i] = StringEscapeUtils.escapeSql(values[i]);//sql转义
  2. //values[i] = StringEscapeUtils.escapeJavaScript(values[i]);//js转义
  3. values[i] = JavaScriptUtils.javaScriptEscape(values[i]);
  4. values[i] = HtmlUtils.htmlEscape(values[i]);//html转义

还有一个是密码明文传输漏洞,我想说这个。。没办法,客户是上帝,还是得做,尽管是不痛不痒的漏洞,还是得处理。

处理是提交前把用户密码禁用,不让显示浏览器下的form data

漏洞扫描系列总结

标签:str   输出   提交   font   密码   注入   enum   传输   16px   

原文地址:https://www.cnblogs.com/wuyachal/p/9037339.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!