本文共 942 字，大约阅读时间需要 3 分钟。

分享一下修复项目漏洞步骤：

1.Apache Shiro RememberMe 1.2.4 反序列化过程命令执行漏洞

<shiro.version>1.6.0</shiro.version>

2.检测到目标站点存在javascript框架库漏洞

jquery-3.5.1.js

3.检测到目标主机可能存在缓慢的HTTP拒绝服务攻击

设置Tomcat / server.xml文件    connectiontimeout 值，默认为20000ms，修改为8000ms(Tomcat 自身安全漏洞)

4.Apache Shiro rememberMe参数秘钥可被枚举

<shiro.version>1.6.0</shiro.version>

5.检测到目标URL存在http host头攻击漏洞

6.检测到目标URL存在相对路径覆盖(RPO)漏洞

把所有调用css和js链接改为绝对路径或者URL即可

7.检测出目标web应用表单存在口令猜测攻击

解决思路：阻止客户端频繁提交验证请求，可以用验证码，多次密码错误锁账号等来实现

8.jQuery 存在 XSS 漏洞

jquery-3.5.1.js

9.检测到目标X-Content-Type-Options响应头缺失

<meta http-equiv="X-Content-Type-Options" content="nosniff" />

10.检测到错误页面web应用服务器版本信息泄露

建立错误机制，不要把真实的错误反馈给访问者

11.检测到目标X-XSS-Protection响应头缺失

12.检测到目标Content-Security-Policy响应头缺失

13.检测到目标web应用表单密码类型输入启用了自动完成操作

代码控制所有的登录部分的input的“autocomplete”属性为“off”

14.检测到目标服务器启用了OPTIONS方法

15.检测到目标网站存在无效链接

将无效链接从页面中删除。

16.点击劫持：X-Frame-Options未配置

17.检测到基于HTTP连接的登录请求

在提交登录请求数据前加密请求数据；建议使用HTTPS连接发送登录请求数据。

18.检测到目标URL启用了不安全的HTTP方法

转载地址：http://cupgf.baihongyu.com/