Odin>>信息安全专题

1.sql注入：这个很常规了，不要拼字符串以及过滤关键字都可以防住，需要注意的是，Cookie提交的参数也是可以导致注入漏洞的。

2.旁注：就是说在保证自己的程序没问题的同时，也要保证同台服务器的其他站点没问题。至少要设置好系统权限，即使别人的站点出问题也不能影响自己的站点。

3.上传：尽量不要有上传功能，如果必须有上传功能。也要做到以下方面：不能让用户定义路径、文件名，限制好可上传的文件类型。同时要限制好权限，基本规则：执行和可写是互斥权限，不应同时存在。

4.口令强度：在设置密码之类的功能上应加入密码强度要求。服务器上线部署的时候，应该立即把默认密码修改掉。

5.防穷举机制：适当的加入验证码，防止别人用程序穷举账户密码。

6.第三方控件：使用第三方控件，应经过严格的审核（很多第三方控件上作者故意留有缺陷），并且剔除不必要的功能再使用。

7.权限最小化：能给只读就给只读，尽量具体到每一个子目录。

8.目录非常规化：得到管理员账户密码，但是找不到后台登录地址也是很难入侵的。后台路径不要动不动就是 http://xxxxx/admin、manager、gl之类的，很容易猜解。

10.XSS：俗称跨站脚本攻击。用户把HTML、JS之类的标签输..

虽然安全性是企业应用程序最重要的方面之一，它同时也可能成为软件开发中最困难的问题。因此，应当在应用程序开发中尽早考虑安全性问题。定义应用程序安全性时，通常使用 AAA（验证、授权与访问控制）范例对如何保护应用程序的各个方面进行分类。某些安全性控件特意经过冗余处理，从而提供双重安全性。
保护 Flex 应用程序时，需要保护许多资源，其中包括用户可以看到哪些数据、用户可以加载哪些模块或用户可以访问哪些屏幕。从更细微的安全性角度而言，您可能需要限制用户读取（但不能写入）某些数据或隐藏用户界面中的特定组件。除了提供 BlazeDS 与通过 Spring 实施的 Java 后端之间的集成外，Spring BlazeDS Integration 项目还提供一些功能，用于保护 Flex 应用程序使用的 Java 服务，借助 Spring Security 提供了一个全方位的解决方案。这个解决方案允许您从 BlazeDS 和 Spring Bean 中定义的终点的服务和方法级别定义安全性。
Flexible Chimp 是 Gorilla Logic 发起的一个新项目，它为 Adobe Flex 和 AIR 应用程序提供了基于权限的过滤。可以根据用户角色保护个别组件。Chimp 通过基于权限的组件过滤提供用户界面的客户端安全性。应用程序将元数据添加到 Fl..

飞天诚信OTP动态令牌认证服务器远程代码执行漏洞
 
漏洞概要
缺陷编号： WooYun-2012-05089
漏洞标题： 飞天诚信OTP动态令牌远程代码执行漏洞
相关厂商： 飞天诚信科技股份有限公司
漏洞作者： ubuntu
提交时间： 2012-03-07
漏洞类型： 默认配置不当
危害等级： 高
自评Rank： 20
漏洞状态： 厂商已经确认
漏洞来源： http://www.wooyun.org


 
简要描述：


飞天诚信OTP动态令牌服务器采用开源JBOSS，可以上传马子，得到服务器控制权限。
详细说明：
飞天诚信OTP动态令牌服务器采用开源JBOSS，JBOSS控制台裸露，可以利用默认配置的一个后台漏洞，漏洞发生在jboss.deployment命名空间中的addURL()函数,该函数可以远程下载一个war压缩包并解压,在输入框中写入war压缩文件webshell的url地址,可以上传jshell,得到服务器控制权限。也可以远程shutdown 、stop 关掉暂停服务。
漏洞证明：
 

 
 

 
 控制台裸露
 



可利用jboss.deployment命名空间中的addURL()函数，上传马子，得到服务器权限。