昨天贴吧大佬帮测出的问题-查看文章

昨天贴吧大佬帮测出的问题

发表于:2017-07-05 10:32:01 分类:开发杂记 阅读:443次

首先感谢测试的大佬们。

  1. xss注入漏洞

这块有做了一个不太成熟的方案。黑名单模式容易遗漏,昨天被各位弄的各种弹窗。虽然不准备在这个玩的项目上浪费太多时间。终究还是忍不了,做了如下改动:

防止恶意频繁提交评论,做了评论验证码。

后台把评论内容中的标签统统废掉,只允许提交纯文本评论——这块还有一个漏洞,不点明了。自己知道,希望大家没发现吧。

然后除了文章发布页,所有需要写入数据库的方法都加入了防注入注解,虽然不完善,先用起来吧。写文章页面由于要适配富文本编辑器,不敢简单粗暴的来……所以这块还完全没防备。

2.文件上传限制漏洞

这个比较严重,昨天被上传了个jsp页面并在我服务器创建了用户还远程登陆了……还好测试的大佬很友善地告知了。

解决方法是在后台判断了上传文件的扩展名,非图片一律不保存。把静态资源访问做了限制,用户上传的文件,只允许静态访问图片。可能还有不可知的遗漏,等待大佬们发现。

3.越权修改文章漏洞

这个漏洞太不应该了,完全是自己疏忽……经验不够呀!

解决:把所有涉及修改的请求方法统统做了session验证 如果验证不符,一律拒绝。

这个坑以后一定注意,不能重新入了……


关键词:java,blog,漏洞


验证码:

  1. author
    姜文(伪装者) 2017-07-18 09:45:29
    回复:赤老温

    回复:鲁有脚 t

    漏洞被发现了
  2. author
    赤老温(伪装者) 2017-07-18 08:20:40
    回复:鲁有脚

    t
  3. author
    洪七公(伪装者) 2017-07-08 23:54:21
    backbone
  4. author
    鲁有脚(伪装者) 2017-07-05 10:35:45
    回复:谭处端

    11

    re
  5. author
    谭处端(伪装者) 2017-07-05 10:35:25
    11