中国重庆公安局主办 | 加入收藏| 招警信息|110服务台|有奖举报
  → 您现在的位置: 重庆市公安局公众信息网网络安全管理
常见漏洞类型及处置建议(第四期)
来自:|时间:2018年01月04日【字号: 】 【打印】 【关闭

一、Struts2远程命令执行漏洞

ApacheStruts是一款建立Javaweb应用程序的开放源代码架构。ApacheStruts存在一个输入过滤错误,如果遇到转换错误可被利用注入和执行任意Java代码。

网站存在远程代码执行漏洞的大部分原因是由于网站采用了ApacheStrutsXwork作为网站应用框架,由于该软件存在远程代码执高危漏洞,导致网站面临安全风险。

修复此类漏洞,只需到Apache官网升级ApacheStruts到最新版本。

二、框架钓鱼漏洞(框架注入漏洞)

框架注入攻击是针对InternetExplorer5InternetExplorer6、与InternetExplorer7攻击的一种。这种攻击导致InternetExplorer不检查结果框架的目的网站,因而允许任意代码像Javascript或者VBScript跨框架存取。这种攻击也发生在代码透过多框架注入,肇因于脚本并不确认来自多框架的输入。这种其他形式的框架注入会影响所有的不确认不受信任输入的各厂商浏览器和脚本。

如果应用程序不要求不同的框架互相通信,就可以通过完全删除框架名称、使用匿名框架防止框架注入。但是,因为应用程序通常都要求框架之间相互通信,因此这种方法并不可行。因此,通常使用命名框架,但在每个会话中使用不同的框架,并且使用无法预测的名称。一种可行的方法是在每个基本的框架名称后附加用户的会话令牌,如main_display

三、文件上传漏洞

文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过Web访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。

因此,在开发网站及应用程序过程中,需严格限制和校验上传的文件,禁止上传恶意代码的文件。同时限制相关目录的执行权限,防范webshell攻击。

联系我们 | 网上办事导航 | 招警信息 | 政府公开信箱 | 有奖举报
关闭窗口】 【返回首页