zoukankan html css js c++ java

安全漏洞问题的解决 20161109

最近公司扫描负责的网站出来一堆安全漏洞。吓死宝宝了。

贴出来刚刚改的几个。

1，使用了不安全的http请求。

解决方案：禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序。

解决步骤：
第一步：修改应用程序的web.xml文件的协议

<?xml version="1.0" encoding="UTF-8"?>   
<web-app xmlns="http://java.sun.com/xml/ns/j2ee"   
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"   
    xsi:schemaLocation="http://java.sun.com/xml/ns/j2ee/web-app_2_4.xsd"   
    version="2.4">

第二步：在应用程序的web.xml中添加如下的代码即可

  <security-constraint>   
   <web-resource-collection>   
          <url-pattern>/*</url-pattern>   
          <http-method>PUT</http-method>   
          <http-method>DELETE</http-method>   
          <http-method>HEAD</http-method>   
          <http-method>OPTIONS</http-method>   
          <http-method>TRACE</http-method>   
   </web-resource-collection>   
    <auth-constraint>   
    </auth-constraint>   
 </security-constraint>   
 <login-config>   
    <auth-method>BASIC</auth-method>   
 </login-config>

2，会话cookie缺少了httpOnly属性。

解决方案：在web.xml加过滤器

<filter>  
        <filter-name>cookieHttpOnlyFilter</filter-name>  
        <filter-class>com.gtc.cms.filter.CookieHttpOnlyFilter</filter-class>  
  </filter> 

<filter-mapping>  
        <filter-name>cookieHttpOnlyFilter</filter-name>  
        <url-pattern>/*</url-pattern>  
  </filter-mapping>

3，中间件版本信息泄露。

解决方案：

定制统一的错误页面，当程序异常时显示统一的错误提示页面；

删除/修改/隐藏HTTP Header中的中间件程序版本信息，避免信息泄漏。

配置xml errorpage

<error-page> 
        <error-code>500</error-code> 
        <location>/500.html</location> 
    </error-page> 
    <error-page> 
        <error-code>404</error-code> 
        <location>/404.html</location> 
    </error-page>

查看全文

相关阅读:
burpsuite-小结
 docker化安装apollo
Linux Shell基础篇——变量
 Linux 用户篇——用户管理命令之id、whoami、su、chage
Linux 用户篇——用户管理命令之useradd、passwd、userdel、usermod
Linux 用户篇——用户管理的配置文件
 Linux 基础——常用的Linux网络命令
 Linux 基础——关机重启命令shutdown、reboot等
 Linux 基础——文件搜索命令find
Linux 基础——权限管理命令chown、chgrp

原文地址：https://www.cnblogs.com/fnncat/p/6047926.html