zoukankan html css js c++ java

安全漏洞问题的解决 20161109

最近公司扫描负责的网站出来一堆安全漏洞。吓死宝宝了。

贴出来刚刚改的几个。

1，使用了不安全的http请求。

解决方案：禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序。

解决步骤：
第一步：修改应用程序的web.xml文件的协议

<?xml version="1.0" encoding="UTF-8"?>   
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"   
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"   
    version="2.4">

第二步：在应用程序的web.xml中添加如下的代码即可

  <security-constraint>   
   <web-resource-collection>   
          <url-pattern>/*</url-pattern>   
          <http-method>PUT</http-method>   
          <http-method>DELETE</http-method>   
          <http-method>HEAD</http-method>   
          <http-method>OPTIONS</http-method>   
          <http-method>TRACE</http-method>   
   </web-resource-collection>   
    <auth-constraint>   
    </auth-constraint>   
 </security-constraint>   
 <login-config>   
    <auth-method>BASIC</auth-method>   
 </login-config>

2，会话cookie缺少了httpOnly属性。

解决方案：在web.xml加过滤器

<filter>  
        <filter-name>cookieHttpOnlyFilter</filter-name>  
        <filter-class>com.gtc.cms.filter.CookieHttpOnlyFilter</filter-class>  
  </filter> 

<filter-mapping>  
        <filter-name>cookieHttpOnlyFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
  </filter-mapping>

3，中间件版本信息泄露。

解决方案：

定制统一的错误页面，当程序异常时显示统一的错误提示页面；

删除/修改/隐藏HTTP Header中的中间件程序版本信息，避免信息泄漏。

配置xml errorpage

<error-page> 
        <error-code>500</error-code> 
        <location>/500.html</location> 
    </error-page> 
    <error-page> 
        <error-code>404</error-code> 
        <location>/404.html</location> 
    </error-page>

查看全文

相关阅读:
司法相关学习网站视频资料
 小型网站如何防范DDoS攻击
 教你9招破解多种系统登陆密码方法 (1)
加快Win7整体运行速度的12个小技巧
 手机指令大全，需要可以看看
 Java、fileless恶意软件威胁桌面安全
 浅谈Android手机木马手工查杀
 Win7路由器设置过程
 如何加强移动应用开发安全？
FTP常用故障代码注解

原文地址：https://www.cnblogs.com/fnncat/p/6047926.html