网站应用安全
菜鸟叮咚糖
太懒了,什么都没留下.........
展开
-
小记一次网站应用漏洞扫描--启动了不安全的HTTP方法(Insecure HTTP Method)及其解决方案
漏洞编号:c*********031834878bbfe891144574 漏洞等级:中危 漏洞状态:未修复 发现时间 : 2018/01/04 21:00:43 GMT+08:00 漏洞类型:不安全方法 所属域名:*******.cn URL:http://*********** 漏洞简介 攻击者可以使用OPTIONS和Trace方法来枚举服务原创 2018-01-05 09:58:01 · 2765 阅读 · 0 评论 -
SSM框架搭建网站防止跨站脚本攻击(一)
第一篇 1. 个人网站使用SSM框架搭建的,上线前使用IBM Security AppScan Standard扫描漏洞出现跨站脚本攻击。 修复方案 普遍的解决方案是添加拦截器。 1.在项目中新建一个拦截器 XssFilter .java import java.io.IOException; import java.util.LinkedHashMap; impor...原创 2018-07-19 10:14:32 · 1834 阅读 · 0 评论 -
JavaWeb项目允许跨域访问
跨域访问 跨域是指从一个域名的网页去请求另一个域名的资源。 跨域的严格一点的定义是:只要 协议,域名,端口有任何一个的不同,就被当作是跨域访问。 浏览器限制跨域访问,为什么? 为了安全我们的浏览器有同源策略。使我们不方便跨域访问 为什么要跨域访问? 你看到我这个文章,为什么? JavaWeb项目服务端怎么允许跨域访问? 普通项目:引入jar包 下载地址: ...原创 2018-08-20 09:10:19 · 8069 阅读 · 0 评论 -
CSRF 攻击的应对之道(来源IBM)
CSRF 背景与介绍 CSRF(Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一。其他安全隐患,比如 SQL 脚本注入,跨站域脚本攻击等在近年来已经逐渐为众人熟知,很多网站也都针对他们进行了防御。然而,对于大多数人来说,CSRF 却依然是一个陌生的概念。即便是大名鼎鼎的 Gmail, 在 2007...转载 2018-11-17 20:30:09 · 633 阅读 · 0 评论 -
搭建Ngrok内网穿透服务器支持https
前言 本篇博客为搭建Ngrok支持https访问,普通搭建教程我的这一篇博客中【腾讯云等云服务器搭建Ngrok内网穿透服务器】 在搭建支持https访问之前,你可以按照普通搭建教程,做到第三步。本教程将默认从第三步结束开始操作。 第一步:申请域名的SSL证书 1.申请地址:https://freessl.cn/ 1).域名填写为 *.test.com,test...原创 2019-08-07 17:49:23 · 1783 阅读 · 6 评论