漏洞扫描系列总结

最近，客户那边返回的漏洞好多啊，我都好无力啊。好悲催，幸好有健哥的指导，我才能跨过死结！这里做一个小总结

漏洞三大特点：xss跨站，sql注入，上传漏洞

处理xss最好的办法是 实体化用户提交的数据 过滤的话一旦被绕过就会导致漏洞出现 
最好的修复办法是实体化用户能控制的输出点

我们的处理是过滤器，过滤器里对所有链接过来的数据参数进行过滤，js，sql，html都进行过滤

 

1. values[i] = StringEscapeUtils.escapeSql(values[i]);//sql转义
2. //values[i] = StringEscapeUtils.escapeJavaScript(values[i]);//js转义
3. values[i] = JavaScriptUtils.javaScriptEscape(values[i]);
4. values[i] = HtmlUtils.htmlEscape(values[i]);//html转义

还有一个是密码明文传输漏洞，我想说这个。。没办法，客户是上帝，还是得做，尽管是不痛不痒的漏洞，还是得处理。

处理是提交前把用户密码禁用，不让显示浏览器下的form data