昨天贴吧大佬帮测出的问题
发表于:2017-07-05 10:32:01 分类:开发杂记 阅读:972次
首先感谢测试的大佬们。
xss注入漏洞
这块有做了一个不太成熟的方案。黑名单模式容易遗漏,昨天被各位弄的各种弹窗。虽然不准备在这个玩的项目上浪费太多时间。终究还是忍不了,做了如下改动:
防止恶意频繁提交评论,做了评论验证码。
后台把评论内容中的标签统统废掉,只允许提交纯文本评论——这块还有一个漏洞,不点明了。自己知道,希望大家没发现吧。
然后除了文章发布页,所有需要写入数据库的方法都加入了防注入注解,虽然不完善,先用起来吧。写文章页面由于要适配富文本编辑器,不敢简单粗暴的来……所以这块还完全没防备。
2.文件上传限制漏洞
这个比较严重,昨天被上传了个jsp页面并在我服务器创建了用户还远程登陆了……还好测试的大佬很友善地告知了。
解决方法是在后台判断了上传文件的扩展名,非图片一律不保存。把静态资源访问做了限制,用户上传的文件,只允许静态访问图片。可能还有不可知的遗漏,等待大佬们发现。
3.越权修改文章漏洞
这个漏洞太不应该了,完全是自己疏忽……经验不够呀!
解决:把所有涉及修改的请求方法统统做了session验证 如果验证不符,一律拒绝。
这个坑以后一定注意,不能重新入了……
关键词:java,blog,漏洞
-
回复:赤老温漏洞被发现了
-
回复:鲁有脚t
-
backbone
-
回复:谭处端re
-
11