2024年5月4日发(作者:)
漏洞解决报告
一.跨站脚本攻击
添加过滤器,对请求中的参数进行过滤,过滤掉敏感信息。
二.JWPlayer中的跨站脚本漏洞
升级JWPlayer到最新版本
三.JBossSeam框架远程执行漏洞
更新seam到最新版本
四.SQL注入
对请求参数进行验证,通过验证才可执行sql
五.错误信息泄漏
在中进行配置,对错误信息进行控制,跳到统一的错误页面。
六.易受攻击的Javascript代码库
升级jQuery到最新版本
七.点击劫持:X-Frame-Options响应头缺失
给响应头添加上X-Frame-Options
八.未设置Cookie的httpOnly属性
Jboss配置文件中设置Cookie添加上httpOnly属性
九.恶意文件上传
后台限制上传的文件类型,只允许规定的文件太能上传。
十.明文传送敏感信息
前台对密码进行加密
十一.启用了不安全的HTTP方法
在中进行设置:
十二.Apache版本信息泄漏
设置apahe的文件ServerTokensProd控制不显示版本信息。
漏洞类型
跨站脚本攻击
JWPlayer中的跨站脚本漏
洞
JBossSeam框架远程执
行漏洞
SQL注入
备注
添加xss过滤器。
升级JWPlayer到6.8。
危险级别
高
高
更新seam
对参数进行验证过滤。
进行配置
高
高
错误信息泄漏
........
中
易受攻击的Javascript代码
库
点击劫持:X-Frame-Option
s响应头缺失
未设置Cookie的httpOnly
属性
恶意文件上传
升级jQuery到最新的版本。中
设置X-Frame-Options响应头低
设置Cookie的httpOnly属性
后台对上传的文件进行过滤,符合要求
低
低
的放行,否则则拦截。
明文传送敏感信息对密码进行加密传输
在中进行设置:
启用了不安全的HTTP方
法
低
低
设置文件
Apache版本信息泄漏
ServerTokensProd
低
发布者:admin,转转请注明出处:http://www.yc00.com/news/1714807569a2519777.html
评论列表(0条)