最近公司掃瞄負責的**出來一堆安全漏洞。嚇死寶寶了。
貼出來剛剛改的幾個。
1,使用了不安全的http請求。
解決方案: 禁止delete、put、options、trace、head等協議訪問應用程式應用程式。
解決步驟:
第一步:修改應用程式的web.xml檔案的協議
<?xml version="1.0" encoding="utf-8"?>xmlns:xsi=""
version="2.4">
第二步:在應用程式的web.xml中新增如下的**即可
/*put
delete
head
options
trace
basic
2,會話cookie缺少了httponly屬性。
解決方案:在web.xml加過濾器
3,中介軟體版本資訊洩露。
解決方案:
定製統一的錯誤頁面,當程式異常時顯示統一的錯誤提示頁面;
刪除/修改/隱藏http header中的中介軟體程式版本資訊,避免資訊洩漏。
配置xml errorpage
500
/500.html
404
/404.html
jquery版本安全漏洞問題
起因 公司一次常規安全掃瞄提出了jquery版本漏洞問題 1.x系列版本等於或低於1.12的jquery,和2.x系列版本等於或低於2.2的jquery,過濾使用者輸入資料所使用的正規表示式存在缺陷,可能導致location.hash跨站漏洞。漏洞官方修復介紹 正確解決方法 公升級版本。但是,最新版...
如何解決sql注入安全漏洞問題
sql注入從表面意思來說就是利用你的sql的不規範性,獲取破壞你的資料庫資訊,一般都會使用第三方工具全面掃瞄尋找注入口。那麼如何防護呢,主要從四個層面來談談 一 前端對特殊字元進行過濾 前端頁面是和使用者交流的視窗,但是魚龍混雜的使用者中你也不知道誰不懷好意,所以要做到對所有需要使用者手動輸入的地方...
關於rabbitmq安全漏洞的問題
在我們的很多個專案中都用到了訊息中介軟體,雖然現在有些已經改用了kafka,但是還有相當一部分依然用的是rabbitmq。而最近呢,我們收到了乙份關於安全漏洞掃瞄的文件,說我們的rabbitmq存在著一些安全漏洞問題,既然是有問題,自然是需要整改的,但是看完文件以後,發現這種安全漏洞問題似乎並不是很...