漏洞修复说明

诸子流 诸子流     2022-08-29     621

关键词:

修复操作中漏洞一般可分为应用逻辑类漏洞/应用技术类漏洞/应用相关服务漏洞/其他服务漏洞。

 

对于web应用本身存在的SQL等技术性漏洞和各类逻辑漏洞,由于应用是自己或厂商开发的要修复一般是直接修改代码完成修复

漏洞类型 说明 发现手段 修复方法
应用逻辑类漏洞 登录使用前端跳转,使攻击者可越权登录 手工探测,扫描器一般不能发现 修改代码解决
应用技术型漏洞 SQL注入漏洞等 手工探测,web扫描器 安全狗等WAF/修改代码
应用相关服务漏洞 中间件和数据库等应用直接使用的服务 系统漏洞扫描器 隐藏版本号/软件内白名单/防火墙白名单
其他服务漏洞 SSH/vsftpd等辅助服务器运维的服务 系统漏洞扫描器 隐藏版本号/防火墙白名单/升级新版

 

 

 

 

 

应用类漏洞,由于应用是自己开发或厂商维护的,所以应用逻辑类和技术类漏洞一般直接修改代码。

应用相关的服务漏洞,在生产上一点的不兼容就可能造成服务运行出错,所以一般使用隐藏版本号/白名单等不影响服务的操作,而不采用打补丁甚至升级等操作。

其他服务漏洞,出错也不会影响应用实在不行卸载再重装也行,所以一般使用直接升级新版的操作。

隐藏版本号操作并没有真正解决问题,也就是说攻击者如果真用exp去攻击那么一样是会成功的;只是由于扫描器只是根据版本号判断漏洞是否存在,所以隐藏版本号还是在相当程度上增强了服务的安全性,虽然可能更现实的作用是通过上线检查。

options漏洞修复(代码片段)

文章目录前言:OPTIONS漏洞说明Nginx修复方法环境说明修复测试Tomcat修复方法环境说明修复测试Tomcat版本:8.5.3测试SpringBoot项目修复方法环境说明修复测试总结前言:OPTIONS漏洞说明漏洞名称:OPTIONSmethodisenabled风险... 查看详情

pfsense关于处理器meltdown(熔毁)和spectre(幽灵)漏洞更新修复的说明

...5754)和"Spectre"(CVE-2017-5753&CVE-2017-5715)两组CPU特性漏洞。据悉,漏洞会造成CPU运作机制上的信息泄露,低权级的攻击者可以通过漏洞来远程泄露(浏览器形式)用户信息或本地泄露更高权级的内存信息。实际攻击场 查看详情

linux软件漏洞修复指南

Linux软件漏洞更新时间:2021年9月14日10:54:05云安全中心支持检测并在控制台一键修复Linux软件漏洞。本文档介绍了如何查看Linux软件漏洞的相关信息和对Linux软件漏洞进行处理。版本限制说明云安全中心免费版和防病毒版只提... 查看详情

记一次网站渗透的漏洞挖掘记录

文章目录1具体分析流程及解决方案1.1配置管理1.1.1应用配置(中)测试说明:步骤详情:测试结果:修复建议:1.1.2过期、备份页面(安全)测试说明:步骤详情:测试结果:修复建议:1.2认证测试1.2.1用户枚举测试(安全)测... 查看详情

centos7修复几个icmp漏洞(代码片段)

...的是firewall防火墙,只能使用firewall-cmd命令禁用掉部分icmp漏洞参考https://www.cnblogs.com/lsdb/p/8204578.html二、漏洞修复1.ICMPtimestamp请求响应漏洞描述:远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。这可能允许者一些基于... 查看详情

安全测试web安全测试常规安全漏洞可能存在sql和js注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?sql注入漏洞修复js注入漏洞修复漏洞存在场景分析和修复示例(代码片段(代码片段

...l注入场景分析6、存在js或sql注入场景防范 SQL注入关键字漏洞定义,防范替换字符串表 JS注入关键字漏洞定义,防范替换字符串表结束语前言    安全测试web常规安全漏洞问题介绍和防范说明,如:SQL注入攻击... 查看详情

快速修复log4j2远程代码执行漏洞步骤(代码片段)

...来源:blog.csdn.net/weixin_48990070/article/details/121861553目录漏洞说明修复步骤下载源码zip包到本地解压到本地用IDEA打开项目执行MavenDeploy,将log4j2修复的版本包安装到Nexus修改项目中的pom.xml测试验证ApacheLog4j2远程代码执行漏洞... 查看详情

cve-2020-27986(sonarqube敏感信息泄漏)漏洞修复(代码片段)

一、漏洞修复说明针对sonarqube的漏洞CVE-2020-27986修复方案。SonarQube8.4.2.36762允许远程攻击者通过api/settings/valuesURI发现明文SMTP、SVN和GitLab凭据。注意:据报道,供应商对SMTP和SVN的立场是“配置它是管理员的责任”。该漏洞... 查看详情

网站***修复网站漏洞修复方案

网站***修复网站漏洞修复方案分类专栏:网站安全网站被黑centos运维如何防止网站被侵入如何防止网站被黑如何防止网站被挂马网站安全服务怎么查找网站漏洞web网站安全服务dedecms老被挂马该内容被禁止访问网站被黑怎么修复Me... 查看详情

怎么修复网站漏洞骑士cms的漏洞修复方案

怎么修复网站漏洞骑士cms的漏洞修复方案分类专栏:网站安全网站被黑网站被篡改如何防止网站被侵入如何防止网站被挂马如何防止网站被黑网站安全服务网站安全文章标签:如何修复网站漏洞网站漏洞怎么修复网站安全公司网... 查看详情

如何修复这些漏洞? (npm audit fix 无法修复这些漏洞)

】如何修复这些漏洞?(npmauditfix无法修复这些漏洞)【英文标题】:Howtofixthesevulnerabilities?(npmauditfixfailstofixthesevulnerabilities)【发布时间】:2020-02-1520:35:23【问题描述】:我的项目有6个高度严重的漏洞,我不知道如何修复它们。... 查看详情

linuxglibc漏洞修复需要重启吗

...A楼主你好很多都需要重启的,建议你根据提示做其次,漏洞建议安全软件修复,以免异常打开腾讯电脑管家——工具箱——修复漏洞,进行漏洞扫描和修复。电脑管家建议用户设置开启自动修复漏洞功能,开启后,电脑管家可... 查看详情

漏洞修复通知修复apacheshiro认证绕过漏洞

...pache官方发布了安全公告,存在ApacheShiro身份认证绕过漏洞,漏洞编号CVE-2022-32532。JeecgBoot官方已修复,建议大家尽快升级至ApacheShiro1.9.1版本。漏洞描述ApacheShiro中使用RegexRequestMatcher进行权限配置,并且正则表达式... 查看详情

分享网站漏洞检测与如何修复网站逻辑漏洞

分享网站漏洞检测与如何修复网站逻辑漏洞分类专栏:网站安全网站被篡改网站被黑如何防止网站被黑如何防止网站被侵入如何防止网站被挂马网站安全服务网站安全防护服务网站安全维护网站安全问题ecshop漏洞修复MetInfo漏洞... 查看详情

php安全漏洞怎么修复

试试腾讯电脑管家,杀毒+管理2合1,还可以自动修复漏洞:第一时间发现并修复系统存在的高危漏洞,在不打扰您的情况下自动为系统打上漏洞补丁,轻轻松松将病毒木马拒之门外。自动修复漏洞电脑管家可以在发现高危漏洞(... 查看详情

检测到目标url存在httphost头攻击漏洞怎么修复

参考技术A打开腾讯电脑管家——工具箱——修复漏洞,进行漏洞扫描和修复。建议设置开启自动修复漏洞功能,开启后,电脑管家可以在发现高危漏洞(仅包括高危漏洞,不包括其它漏洞)时,第一时间自动进行修复,无需用... 查看详情

有高危漏洞必须得修复吗?不修复怎么样?啥算是高危漏洞

这个高危漏洞是由微软或者360判断的,一般应该修复。如果不修复可能造成系统紊乱甚至崩溃。参考技术A是的,因为及时修复漏洞可以增强电脑的安全。建议您使用腾讯电脑管家,通过工具箱中的修复漏洞功能即可。腾讯电脑... 查看详情

tomcat漏洞怎么修复

参考技术A可以用腾讯电脑管家,修复漏洞,强大智能的漏洞修复工具,通过电脑管家提供的修复和优化操作,能够消除风险和优化计算机的性能。电脑管家建议您每周体检一次,这样可以大大降低被木马入侵的风险。本回答被... 查看详情