篇一:《安全控件安装方法及常见故障》
安全控件安装方法及常见故障
1.在安装使用支付宝的过程中,请留意浏览器页面区域上方有没出现一个黄色的确认提示条。IE7等高版本浏览器增加的安全特性,会在这个区域要求用户的确认,才能使支付宝网站正常运行。
2.首先检查您的系统,安全控件需要Windows2000及更高版本操作系统,IE6.0及更高版本浏览器,如果您是Firefox用户或者Chrome用户,请升级浏览器至最新版本。
3.安装安全控件需要管理员权限,请确认您使用的帐户在Administrators组里,此外需要保证自己登录的用户对NTFS分区格式的硬盘系统目录(Windows)具有写权限。
4.在安装安全控件时,请关闭您正在运行的其他程序,例如旺旺/
贸易通等,如果运行下载的安装包,包括您正在使用的浏览器都要关闭,这样可以尽量避免安装程序提示您重启操作系统。
5.IE浏览器设置恢复为默认值:
1)点击浏览器菜单栏上的工具——Inter选项——安全,选择inter区域,如〔默认级别〕按钮不是灰的,就直接点击,如果是灰的,不用做任何操作
2)依次选择4个区域(Inter/本地Inter/受信任的站点/受限制的站点),并且点击<默认级别>按钮;
3)点击〔高级〕标签,点击〔还原默认设置〕
6.出现安装问题后,建议下载EXE安装包来手动安装,这个安装包能解决更多的安装问题。如果想完全删除安全控件,使用此安装包安装一次,就可以在控制面板中完全删除支付宝安全控件。支付宝安全控件常见问题及回答:
1、支付宝可以在什么操作系统及浏览器下使用?
目前支付宝控件支持windows2000及更高版本操作系统,IE/Firefox/Chrome均可在windows下正常支付,对更多平台及浏览器的支持尚未正式发布。2124及以前版本不支持在Windows7及IE8上运行。
2、为什么在输入密码的地方总是显示“请点此输入密码”?
这是因为您没有正确安装支付宝安全控件,发生这种情况时,请您下载EXE安装包进行手工安装。如果问题仍然存在,您也可以尝试使用其他浏览器登录支付宝,比如Firefox或者是Chrome。
3、支付宝安全控件为什么被杀毒软件提示为病毒,或者是keylogger?
安全控件的作用是防止木马及病毒盗窃用户的密码,因此在代码和行为特征上容易被杀毒软件误报。升级杀毒软件到最新版本,并且到支付宝首页安装最新版本的控件,就不会有误报的情况。如果这种现象仍然存在,请致电杀毒软件公司查询,或者直接致电支付宝客户满意中心。
4、为什么会提示F:\aliedit不是有效的win32程序?
这是因为文件被破坏,或者下载的控件安装包不完整,一般是网络情况不好,您可以在支付宝首页重新下载安全控件,手工安装。
5、为什么会报显示内存不足或是CAB文件已损坏?
您是否是用腾迅等类似的浏览器的,这种浏览器会导致安装无法成功,请改用IE浏览器。出现这种情况时,请参考下面的处理办法:
1)安装安全控件时,请关闭占用较大内存的程序。
2)是否安装过证券股票类软件?请卸载。
3)是否安装有其他有可能冲突的软件,3721、网络优化程序或者防火墙等。
4)浏览器请使用IE6.0
5)使用电脑者的登录身份需要是admin,不是guest。
如果您按照以上方法还是不行的话,请尝试使用cmd命令注册安装:开始——所有程序——运行
regsvr32c:\windows\system32\aliedit\aliedit.dll
注:其他各系统只需要替换一下路径中的system32就可以了,即aliedit.dll文件所在的路径。
弹出提示"c:\windows\system32\aliedit\aliedit.dll中的DllRegisterServer成功"即安装成功。
6、为什么注册ocxc:\windows\system32\aloedit\aliedit.dll时出错?
这是因为您可能没有本地访问权限,安装的时候错误,请您调整一下c:\windows目录的权限!也就是复制一份文件到c:\windows试下,看能不能复制成功。(调整权限的方法:选中这个windows的目录,右键属性——安全看下,写入、修改等各个权限是不是允许。如果是拒绝的就不可以了)如果是公司的电脑,而又没有安装软件的权限,需要找你们的IT人员解决。
7、为什么安全控件安装最后出现错误:c:\windows\system32\aliedit\aliedit.dl
DllRegisterServer失败,返回代码:0x80020009?
解决办法为:
1)请您到如下路径:C:\WINDOWS\system32\drivers\etc看看是否有文件,有的话,全部删除。然后再登录支付宝页面下载控件安装;
2)如果还是不行,请您尝试别的浏览器,重装系统或者换台电脑试试。
8、在安装安全控件时,为什么会提示deletefile失败代码32或者是movefile失败,代码2,出现的情况如下提示为终止、重试、中的
忽略的提示框?这是因为安全控件文件正在被其他程序使用,关闭所有程序再尝试安装就可以了。
篇二:《常见漏洞以及修复方法》常见漏洞以及修复方法
文:政府事业本部第一事业部劳动人事开发部刘世涛
目录
(一)
(二)前言......................................................................................3常见漏洞及原理分析...................................................................3
1.sql脚本注入.......................................................................3
2.跨站点脚本编制...................................................................3
3.不安全的方法及登录验证相关...........................................4
4.跨站点请求伪造...................................................................4
5.危险性较低的开发及配置问题...................................................4
系统防御原理............................................................................5
1.sql脚本注入.......................................................................5
2.跨站点脚本编制...................................................................5
3.不安全的方法及登录验证相关...........................................6
4.跨站点请求伪造...................................................................6
5.危险性较低的开发及配置问题...................................................6
结语......................................................................................7(三)(四)
(一)前言
在做互联网的项目中,由于网络用户数量大、环境更加复杂,对系统安全的考虑要更加慎重和全面。我在部门中参与了多个互联网项目,以此为基础,并结合IBMAppScan安全工具,介绍一下我们遇到的几个安全方面的问题及其原理和解决方案。
我们的项目使用的技术主要包括:spring、springMVC、freemarker、hibernate。本文主要站在软件系统的构建者和开发者的角度出发,类似网络环境、服务器配置等,可以参考其他资料。
(二)常见漏洞及原理分析
1.sql脚本注入
后台执行sql语句时,使用字符串拼接的方式,并且该字符串是使用浏览器提交的数据时。攻击者将提交的数据就行修改,可以达到执行希望的sql的目的。该攻击比较危险,可能会造成数据破坏和数据盗取的后果。
例如:用户提交username和password两个字段,系统后台判断语句为
Stringsql=“select*fromuserwherename=’”+username+”’andpassword=’”+password+”’”;后台通过判断查询结果是否为空,来决定用户的账号和密码是否正确。
如果用户将username的值写为admin‘or1or‘,并且存在账号名称为admin的管理员用户,则可以直接以admin登录成功。
以上例子只是很简单的一种状况,如果某些功能处理不好,有可能会造成大量数据被盗取的严重后果。
2.跨站点脚本编制
攻击者在浏览器向服务端提交的数据中,加入危险的内容,如js脚本等。如果服务器端没有响应的防御措施,则会被注入跨站脚本。典型的攻击分为两类:
持久型:例如攻击者在某博客内留言,该留言内容中嵌有一段获取用户账号cookie的JS脚本。该博客被某个登录用户访问时,脚本会在用户未知的情况下运行,就会被盗取账号等个人信息。
非持久型:攻击者在查询的请求内,使用URL参数的方式添加html语法内容和非法js脚本,并且将该URL发送给登录用户。登陆用户点击连接之后,脚本会在用户未知的情况下运行,就有可能被盗取账号等个人信息。
3.不安全的方法及登录验证相关
针对现有的常见漏洞进行解释:
1.已解密的登录请求、启用了不安全的方法:如果没有使用s协议,攻
击者可以在网络层面对数据进行拦截。针对登录、注册等功能,账户等主要信
息会被法拦截。
2.不充分帐户封锁:攻击者可能会使用穷举法对密码进行暴力破解。
3.会话标识未更新:用户在未登录和登录后的sessionid没有进行更新,则攻击者
仿造一个带有自定义的jsessionid参数的URL发送给被攻击者,通常为登录页面,
如果被攻击者点击链接之后,进行了登录操作,jsessionid未更新,并且攻击者
拥有这个jsessionid,则可以使用这个sessionid作为攻击者自身的信息,进入系
统后,就拥有了被攻击者的权限。
4.跨站点请求伪造
在某个非法网站的页面内嵌入允许跨站点的标签,例如js、img标签。标签的src属性为某个操作的请求,例如转账、授权等等。当用户在登录被攻击网站之后,如果访问该非法页面,则会自动向被攻击网站发送一条请求,此时网站认为该请求是用户本人的操作,攻击成功。
5.危险性较低的开发及配置问题
1.BashShell历史记录文件检索
服务器配置
2.Robots.txt文件Web站点结构暴露
3.会话cookie中缺少Only属性
会话cookie没有Only属性,则在浏览器端可以使用js等手段进行修改
4.自动填写未对密码字段禁用的HTML属性
自动记录密码功能
5.HTML注释敏感信息泄露
注释信息中含有某些关键字,如password等等
6.发现电子邮件地址模式
注释或代码中存在邮件格式的信息,可能会有信息泄露
7.发现内部IP泄露模式
返回信息中,带有内部IP信息,可能会有信息泄露
8.客户端(JavaScript)Cookie引用
浏览器端运行的js文件对cookie进行了引用,可能会被攻击者利用。
(三)系统防御原理
1.sql脚本注入
要求所有的人员在开发过程中,杜绝食用字符串直接拼接sql语句的方式,而使用预编译或命名参数的方式。
例如:
Stringsql=“select*fromawhereb=’”+name+”’”;//name为浏览器请求的参数
1.预编译的sql在jdbc中的体现为preparedstatement。
查询语句应为:select*fromawhereb=?,时候使用preparedstatement.setXXX
的方法进行变量设置。
2.命名参数在常用的orm框架中都有对应的方法,以spring的jdbctemplate为例:
Stringsql=”select*fromawhereb=:name”;
jdbctemplate.query(sql,newObject[]{name},…)
3.通常使用hibernate等orm框架,使用其对应的javabean进行增删改查操作都
是安全的。
现在处理漏洞方法:使用过滤器来过滤非法字符,解决该漏洞!但是在程序开发中,请不要使用直接拼接sql语句!
过滤器代码:
2.跨站点脚本编制
该漏洞的核心原因是未针对用户提交的数据中含有html语义的内容进行替换,从而造成用户提交的数据可以被客户端执行造成的。
解决办法就是针对用户提交的数据进行处理,将其中的特殊字符替换为用于显示的html实体。例如:小于号(<)替换为<等等。如果你使用用于页面展示的模板引擎,那恭喜你。这些模板引擎通常有自带的处理方法,可以方便的将特殊子图替换掉。如果没有,那就需要自己进行替换,建议使用正则表达式,方便效率。
下面以我们项目为例,介绍我的处理方法。
1.数据库层面:添加系统级配置管理模块,对系统库表和字段进行配置。针对需
要进行替换的数据库表和字段,在管理模块内配置为需要替换。系统会在该字
段被修改和保存时,通过hibernate拦截器。对数据内的html语义字符替换为
html实体,如小于号(<)、大于号(>)等。该操作可以防御危险性较高的持久
型跨站点脚本攻击。
2.页面显示层:添加系统级配置管理模块,对用户请求页面进行配置。针对需要
进行替换的页面,将页面动态显示内容(freemarker变量内容,例如动态显示的
用户名称、展示数据等)进行替换,对数据内的html语义字符替换为html实体。
该操作可以防御所有的跨站点脚本攻击。例如:攻击者使用伪造请求数据的方
法,提交了非法的js脚本,该请求数据在freemarker渲染页面时,作为语句开
篇三:《中国建设银行E路护航网银安全组件(64位版)常见问题解答》中国建设银行E路护航网银安全组件(64
位版)常见问题解答
1、我在哪里可以下载中国建设银行E路护航网银安全组件(64位版)?
答:客户可通过登录建设银行首页,点击左侧“网上银行”下方的“下载中心”按键,进入下载页面即可下载中国建设银行E路护航网银安全组件(64位版)。
2、中国建设银行E路护航网银安全组件(64位版)都在哪些环境下可以使用?
答:中国建设银行E路护航安全组件(64位版)适用于Windows7(64位简体中文、管理员权限)操作系统,32位和64位IE浏览器。
3、中国建设银行E路护航网银安全组件(64位版)可以在32位操作系统下安装使用吗?
答:不可以,中国建设银行网银安全组件(64位版)只能在64位版操作系统下安装使用。
4、我如何知道我安装的安全组件是64位版的?
答:客户在安装和卸载64位版安全组件时,界面会显示
为中国建设银行E路护航网银安全组件(64位版)。
5、我在安装使用中国建设银行E路护航网银安全组件(64位版)时,系统提示我是否加入信任站点,我该如何选择?
答:客户选择加入信任站点,中国建设银行E路护航网银安全组件(64位版)即可正常使用。
6、我可以卸载中国建设银行E路护航网银安全组件(64位版)吗?
答:可以。客户可以在“开始”→“程序”→“中国建设银行E路护航网银安全组件”中,点击“卸载”即可卸载安全组件。客户也可以在操作系统的控制面板中卸载。{安全组件4错误}.
7、中国建设银行E路护航网银安全组件(64位版)收费么?
答:业务推广期内暂不收费。
篇四:《中国建设银行E路护航网银安全组件(火狐浏览器专用)常见问题解答》中国建设银行E路护航网银安全组件(火狐
浏览器专用)常见问题解答
1.我在哪里可以下载中国建设银行E路护航网银安全组件(火狐浏览器专用)?
答:您可通过登录建设银行首页,点击左侧“个人网上银行登录”下方的“下载中心”按键,进入下载页面即可下载中国建设银行E路护航网银安全组件(火狐浏览器专用)。
2.中国建设银行E路护航网银安全组件(火狐浏览器专用)适用于哪些环境?
答:中国建设银行E路护航安全组件(火狐浏览器专用)适用于WindowsXP、WindowsVISTA(32位、管理员权限)和Windows7(32位、管理员权限)操作系统,以及火狐中国版5.0以上简体中文版和IE浏览器。
3.我如何知道自己安装的安全组件是火狐浏览器专用的?答:您在安装和卸载安全组件(火