关键词:
修复操作中漏洞一般可分为应用逻辑类漏洞/应用技术类漏洞/应用相关服务漏洞/其他服务漏洞。
对于web应用本身存在的SQL等技术性漏洞和各类逻辑漏洞,由于应用是自己或厂商开发的要修复一般是直接修改代码完成修复
| 漏洞类型 | 说明 | 发现手段 | 修复方法 |
| 应用逻辑类漏洞 | 登录使用前端跳转,使攻击者可越权登录 | 手工探测,扫描器一般不能发现 | 修改代码解决 |
| 应用技术型漏洞 | SQL注入漏洞等 | 手工探测,web扫描器 | 安全狗等WAF/修改代码 |
| 应用相关服务漏洞 | 中间件和数据库等应用直接使用的服务 | 系统漏洞扫描器 | 隐藏版本号/软件内白名单/防火墙白名单 |
| 其他服务漏洞 | SSH/vsftpd等辅助服务器运维的服务 | 系统漏洞扫描器 | 隐藏版本号/防火墙白名单/升级新版 |
应用类漏洞,由于应用是自己开发或厂商维护的,所以应用逻辑类和技术类漏洞一般直接修改代码。
应用相关的服务漏洞,在生产上一点的不兼容就可能造成服务运行出错,所以一般使用隐藏版本号/白名单等不影响服务的操作,而不采用打补丁甚至升级等操作。
其他服务漏洞,出错也不会影响应用实在不行卸载再重装也行,所以一般使用直接升级新版的操作。
隐藏版本号操作并没有真正解决问题,也就是说攻击者如果真用exp去攻击那么一样是会成功的;只是由于扫描器只是根据版本号判断漏洞是否存在,所以隐藏版本号还是在相当程度上增强了服务的安全性,虽然可能更现实的作用是通过上线检查。
记一次网站渗透的漏洞挖掘记录
文章目录1具体分析流程及解决方案1.1配置管理1.1.1应用配置(中)测试说明:步骤详情:测试结果:修复建议:1.1.2过期、备份页面(安全)测试说明:步骤详情:测试结果:修复建议:1.2认证测试1.2.1用户枚举测试(安全)测... 查看详情
pfsense关于处理器meltdown(熔毁)和spectre(幽灵)漏洞更新修复的说明
...5754)和"Spectre"(CVE-2017-5753&CVE-2017-5715)两组CPU特性漏洞。据悉,漏洞会造成CPU运作机制上的信息泄露,低权级的攻击者可以通过漏洞来远程泄露(浏览器形式)用户信息或本地泄露更高权级的内存信息。实际攻击场 查看详情
options漏洞修复(代码片段)
文章目录前言:OPTIONS漏洞说明Nginx修复方法环境说明修复测试Tomcat修复方法环境说明修复测试Tomcat版本:8.5.3测试SpringBoot项目修复方法环境说明修复测试总结前言:OPTIONS漏洞说明漏洞名称:OPTIONSmethodisenabled风险... 查看详情
centos7修复几个icmp漏洞(代码片段)
...的是firewall防火墙,只能使用firewall-cmd命令禁用掉部分icmp漏洞参考https://www.cnblogs.com/lsdb/p/8204578.html二、漏洞修复1.ICMPtimestamp请求响应漏洞描述:远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。这可能允许者一些基于... 查看详情
linux软件漏洞修复指南
Linux软件漏洞更新时间:2021年9月14日10:54:05云安全中心支持检测并在控制台一键修复Linux软件漏洞。本文档介绍了如何查看Linux软件漏洞的相关信息和对Linux软件漏洞进行处理。版本限制说明云安全中心免费版和防病毒版只提... 查看详情
快速修复log4j2远程代码执行漏洞步骤(代码片段)
...来源:blog.csdn.net/weixin_48990070/article/details/121861553目录漏洞说明修复步骤下载源码zip包到本地解压到本地用IDEA打开项目执行MavenDeploy,将log4j2修复的版本包安装到Nexus修改项目中的pom.xml测试验证ApacheLog4j2远程代码执行漏洞... 查看详情
安全测试web安全测试常规安全漏洞可能存在sql和js注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?sql注入漏洞修复js注入漏洞修复漏洞存在场景分析和修复示例(代码片段(代码片段
...l注入场景分析6、存在js或sql注入场景防范 SQL注入关键字漏洞定义,防范替换字符串表 JS注入关键字漏洞定义,防范替换字符串表结束语前言 安全测试web常规安全漏洞问题介绍和防范说明,如:SQL注入攻击... 查看详情
阿里云漏洞修复
...全和BUG修复更新修复命令:yumupdatelibtasn13、USN-3134-1:Python漏洞修复命令:apt-getupdate&&apt-getinstallpython2.7--only-upgradeapt-getupdate&&apt-getinstallpython3.4--only-upgrade4、RHSA-2017:2788-重要:augeas安全更新yumupdateaugeas-libs5、USN-3478-1:Perl... 查看详情
苹果修复macos12.3.1monterey漏洞,但bigsur/catalina未修复
...了macOSMonterey12.3.1,解决了两个可能在被主动利用的关键漏洞,但正如Intego本周指出的,苹果给macOSBigSur和macOSCatalina用户留下了漏洞,还未修复。macOSMonterey12.3.1更新修复了两个安全缺陷,包括一个AppleAVD问题,可能允许应用程序... 查看详情
npm 审计修复:1 个高严重性漏洞:任意文件覆盖
】npm审计修复:1个高严重性漏洞:任意文件覆盖【英文标题】:npmauditfix:1highseverityvulnerability:ArbitraryFileOverwrite【发布时间】:2019-09-0209:38:52【问题描述】:===npmauditsecurityreport===┌─────────────────────... 查看详情
如何修复漏洞
我用360卫士扫描了一下,有两个漏洞要修复,于是点了修复,安装补丁成功,下载也成功,可当我重启后再扫描之后那两个漏洞还在,请问这是怎么回事?漏洞修复、漏洞修复不上建议使用以下方法进行修复。1、下载并打开可... 查看详情
cve-2019-14287漏洞与修复过程(代码片段)
CVE-2019-14287漏洞与修复过程CVE-2019-14287漏洞展示修复漏洞CVE-2019-14287漏洞CVE-2019-14287本地提权漏洞,漏洞因为是Sudo<1.8.28,只需要升级sudo>1.8.28的就可以修复完成展示使用root用户修改权限文件:vim/etc/sudoers,添加... 查看详情
怎么修复网站漏洞骑士cms的漏洞修复方案
怎么修复网站漏洞骑士cms的漏洞修复方案分类专栏:网站安全网站被黑网站被篡改如何防止网站被侵入如何防止网站被挂马如何防止网站被黑网站安全服务网站安全文章标签:如何修复网站漏洞网站漏洞怎么修复网站安全公司网... 查看详情
cve-2020-27986(sonarqube敏感信息泄漏)漏洞修复(代码片段)
一、漏洞修复说明针对sonarqube的漏洞CVE-2020-27986修复方案。SonarQube8.4.2.36762允许远程攻击者通过api/settings/valuesURI发现明文SMTP、SVN和GitLab凭据。注意:据报道,供应商对SMTP和SVN的立场是“配置它是管理员的责任”。该漏洞... 查看详情
openssh漏洞怎么修复windows
漏洞名称:OpenSSHJ-PAKE授权问题漏洞(CVE-2010-4478)漏洞说明:OpenSSH是SSH协议组的实现,可为各种服务提供加密的认证传输,包括远程shell访问。当J-PAKE启用时,OpenSSH5.6及之前版本不能正确验证J-PAKE协议中的公共参数。远程攻击者可... 查看详情
php安全漏洞怎么修复
试试腾讯电脑管家,杀毒+管理2合1,还可以自动修复漏洞:第一时间发现并修复系统存在的高危漏洞,在不打扰您的情况下自动为系统打上漏洞补丁,轻轻松松将病毒木马拒之门外。自动修复漏洞电脑管家可以在发现高危漏洞(... 查看详情
如何使用nikto漏洞扫描工具检测网站安全
试试安全软件扫描打开腾讯电脑管家——工具箱——漏洞修复可以自动修复漏洞:第一时间发现并修复系统存在的高危漏洞,在不打扰您的情况下自动为系统打上漏洞补丁,轻轻松松将病毒木马拒之门外。自动修复漏洞电脑管家... 查看详情
网页检测有漏洞怎么办?说是啥dedecmswap跨站漏洞,怎么修复?
...了,谢谢,在修复了。参考技术A目标存在跨站脚本攻击漏洞。1.漏洞影响版本:dedecmsv5.62.漏洞文件:/wap.php+展开危害:1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用... 查看详情