最近,客户那边返回的漏洞好多啊,我都好无力啊。好悲催,幸好有健哥的指导,我才能跨过死结!这里做一个小总结
漏洞三大特点:xss跨站,sql注入,上传漏洞
处理xss最好的办法是 实体化用户提交的数据 过滤的话一旦被绕过就会导致漏洞出现
最好的修复办法是实体化用户能控制的输出点
我们的处理是过滤器,过滤器里对所有链接过来的数据参数进行过滤,js,sql,html都进行过滤
values[i] = StringEscapeUtils.escapeSql(values[i]);//sql转义//values[i] = StringEscapeUtils.escapeJavaScript(values[i]);//js转义values[i] = JavaScriptUtils.javaScriptEscape(values[i]);values[i] = HtmlUtils.htmlEscape(values[i]);//html转义
还有一个是密码明文传输漏洞,我想说这个。。没办法,客户是上帝,还是得做,尽管是不痛不痒的漏洞,还是得处理。
处理是提交前把用户密码禁用,不让显示浏览器下的form data