- 浏览: 100768 次
- 性别:
- 来自: 死亡坟墓
文章分类
3.4 代码注释
3.5 归档要求
规则4.6.1:版本归档时,必须删除开发过程(包括现场定制)中的临时文件、备份文件、无用目录等。
说明:恶意用户可以通过URL请求诸如.bak之类的文件,Web服务器会将这些文件以文本方式呈现给恶意用户,造成代码的泄漏,严重威胁Web应用的安全。
实施指导:
请务必删除如下一些后辍的文件:
.old、.OLD、.bak、.BAK、.temp、.save、.backup、.orig、.000、~、~1、.dwt、.tpl
规则4.6.2:归档的页面程序文件的扩展名必须使用小写字母。
说明:很多Web server对大小写是敏感的,但对后缀的大小写映像并没有做正确的处理。攻击者只要在URL中将JSP文件后缀从小写变成大写,Web服务器就不能正确处理这个文件后缀,而将其当作纯文本显示。攻击者可以通过查看源码获得这些程序的源代码。因此,归档的页面程序文件的扩展名必须使用小写字母,如jsp、html、htm、asp等页面程序文件的扩展名分别为jsp、html、htm、asp。
规则4.6.3:归档的程序文件中禁止保留调试用的程序/代码,务必删除的会话管理工具。
说明:这里的“调试用的程序/代码”是指开发过程中进行临时调试所用的、在Web应用运行过程中不需要使用到的程序/代码。特别要指出的是的会话管理工具(bizstat.jsp和exportConversationSnapshot.jsp),必须删除,否则,任何人无须登陆就可以查看所有的会话标识(包括CID和SESSIONID),从而冒充其他用户访问系统,也可以频繁调用会话快照导出功能,导致DoS攻击。
发表评论
-
xslt模板2
2011-09-28 10:34 0<!-- 再处理$nodes2--> ... -
xslt模板1
2011-09-28 10:34 0<?xml version="1.0" ... -
xml合并
2011-09-28 10:29 945利用xslt模板进行合并 /* * 合并xml文件 ... -
oracle备份脚本4
2011-09-22 20:12 0# 备份控制文件 backupControl() { ... -
oracle备份脚本3
2011-09-22 20:11 0# 改变备份文件权限,保证可以读写 c ... -
oracle备份脚本2
2011-09-22 20:11 0cd $BACKUPDIR BACKUPDIR= ... -
oracle备份脚本
2011-09-22 20:10 0#! /bin/bash # 本脚本实现数据的0级备份,即全 ... -
Java获取mac地址
2011-09-06 09:46 768public static Map getLocalM ... -
web安全10
2011-08-26 18:28 7493.6 其他 规则4.7.4:使用.innerHt ... -
web安全8
2011-08-26 18:27 649规则3.6.4:对日志模块占用资源必须有相应的限制机制。 说 ... -
web安全7
2011-08-26 18:26 830规则3.5.3.2:在客户端和服务器间传递敏感数据时,必须使用 ... -
web安全6
2011-08-26 18:25 741场景 2:后台服务端保存用户的登录口令 // SHA512, ... -
web安全5
2011-08-26 18:23 731规则3.4.4:对于运行应用程序的操作系统帐号,不应使用“ro ... -
web安全4
2011-08-26 18:20 680二、对于系统的操作员和管理员或CP/SP的URL请求进行鉴权相 ... -
web安全3
2011-08-26 18:20 7002.2.2 认证 规则3.2.2.10:对于重要的交易事务 ... -
java 用ant进行zip解压
2011-08-24 11:12 1267利用ant进行zip解压,非常简单 import org.a ... -
shll bat2
2011-08-23 17:30 631# etc 启动 ETC_PATH=/etc/init.d ... -
shell bat
2011-08-23 17:29 847#!/bin/sh SCRIPT="$0" ... -
数据库转储
2011-08-20 10:29 1332项目中有些数据库表的 ... -
Java操作命令行
2011-08-19 14:10 731Java可以操作命令行,嘿嘿,这也就意味着可以通过命令行调用其 ...
相关推荐
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
《Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
Web安全漏洞加固手册 V2.0
《Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
在Internet大众化及Web技术飞速演变的今天,Web安全所面临的挑战日益严峻。黑客攻击技术越来越成熟和大众化,针对Web的攻击和破坏不断增长,Web安全风险达到了前所未有的高度。 许多程序员不知道如何开发安全的应用...
《Web安全测试》中的秘诀演示了开发和测试人员在进行单元测试、回归测试或探索性测试的同时,如何去检查最常见的Web安全问题。与即兴的安全评估不同的是,这些秘诀是可重复的、简洁的、系统的——可以完美地集成到你...
《Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
Web 安全 实践 完整版 脚本,绝对的好材料
web安全
《白帽子讲Web安全》内容简介:在互联网时代,数据安全与个人隐私受到了前所未有的挑战,各种新奇的攻击技术层出不穷。如何才能更好地保护我们的数据?《白帽子讲Web安全》将带你走进Web安全的世界,让你了解Web安全...
WEB安全性测试测试用例(基础)
WEB安全测试点报告,辅助做好系统安全测试。
《Web安全深度剖析》总结了当前流行的高危漏洞的形成原因、攻击手段及解决方案,并通过大量的示例代码复现漏洞原型,制作模拟环境,更好地帮助读者深入了解Web 应用程序中存在的漏洞,防患于未然。 《Web安全深度...
内容: 1. Web安全基础概念 2. Web面临的主要安全问题 3. Web安全常见的漏洞 4. Web安全如何防御