- 博客(14)
- 收藏
- 关注
RSS订阅原创 编写HashMap实现简单单点登录/三终端登录
编写HashMap实现简单单点登录/三终端登录先上代码先上代码package com.zte.iptv.global;import javax.servlet.http.HttpSession;import java.util.*;public class MyHashMap<K,V> extends AbstractMap<K,V> { priva...
2020-04-25 13:23:08
448
原创 WEB安全漏洞之错误统一处理机制
漏洞说明当因为某些疏忽(开发问题等)或者用户恶意操作导致网页出现错误时,在未进行处理的情况下,浏览器往往会直接给出错误信息,甚至会详细到某个文件的某行代码出现了什么样的错误,这样可能会暴露项目的目录结构,将一些关键信息展示给攻击者。修复方案当异常或错误出现时,展示统一的错误提示页面error.jsp,避免关键信息的显示。相关的配置可以在web.xml中进行设置:<!-- 在web.x...
2019-05-20 14:59:21
588
原创 WEB安全漏洞之会话标识未更新漏洞
漏洞说明在用户进入登录页面,但还未登录时,会产生一个session,用户输入信息,登录以后,session的id没有改变,也就是说没有建立新session,原来的session没有被销毁, 可以继续使用,黑客可利用此漏洞窃取或操纵客户会话和cookie,用于模仿合法用户,从而能够以该用户身份查看或变更用户记录以及执行事务。简单的说,就是登录前后的JSESSIONID没有变化。修复方案核心思...
2019-05-20 14:40:00
1685
原创 WEB安全漏洞之关键信息明文传输漏洞
漏洞说明关键信息明文传输也是一个十分常见的漏洞。在前后端进行交互时,尤其是登录操作,需要注意对密码等关键信息进行加密,因为信息在传输过程中,可能会有被截获的危险。下面就针对扫描工具,给出几种方案。修复方案第一种 base64严格来说,base64其实算不上加密?毕竟base64只是一种常见的编码格式,但是对于安全性要求不太高的系统,也可以使用base64来避免漏洞扫描工具报出“关键信息...
2019-05-20 11:16:13
9734
原创 WEB安全漏洞之javascript版本漏洞
漏洞说明在用webinspect或者appscan等工具扫描项目的时候,js版本漏洞(版本过低)是其中比较常见的一个。漏洞说明为:项目使用了存在漏洞的jquery版本,可能会导致跨站脚本攻击(XSS)。修复该漏洞的方法为更新jquery版本,但有一个问题就是,不同的工具扫描的情况也不同,比如在项目中,我们把jqeury版本升级到v1.11.0,webinspect没有扫描出漏洞,但是AWVS则...
2019-05-20 10:14:34
15015
原创 WEB安全漏洞之XFS攻击、SSL协议漏洞及Http方法覆盖漏洞
漏洞说明这次对三类漏洞进行说明,之所以将它们放在一起,是因为这三类漏洞都可以在nginx中通过修改配置文件进行治理。XFS攻击漏洞说明:跨框架脚本(XFS)漏洞使攻击者能够在恶意页面的 HTMLiframe 标记内加载易受攻击的应用程序。攻击者可以使用此漏洞设计点击劫持攻击,以实施钓鱼式攻击、框架探查攻击、社会工程攻击或跨站点请求伪造攻击。简单的说,就是攻击者会将被攻击页面的网站内容嵌入...
2019-05-17 17:28:21
1502
原创 WEB安全漏洞之Cookie中缺少相关安全属性(HttpOnly、Secure)
漏洞说明在用webinspect工具对web项目进行扫描,会报一下两种错误:1.Cookie中缺少HttpOnly属性;2.Cookie中缺少Secure属性。HttpOnly属性浏览器通过document对象获取Cookie。HttpOnly作为保护Cookie安全的一个属性,一旦被设置,document对象便看不到Cookie了,同时,浏览器在访问网页时不受任何影响,因为Cookie...
2019-05-17 16:18:57
10459
1
原创 WEB安全漏洞之Host头攻击漏洞
总览漏洞说明解决方法漏洞说明开发人员一般依赖于HTTP Host header来方便的获得网站域名。例如,在php里用_SERVER[“HTTP_HOST”],在java里使用hreq.getHeader(“HOST”)等。但是这个header是不可信赖的,在请求传入后端的途中可能会被截获修改。如果后端没有对host header值进行处理(检验等),就有可能造成恶意代码的传入,或者己方用户信...
2019-05-17 15:10:14
3329
原创 XSS跨站漏洞
漏洞描述 攻击者可以通过构造URL注入JavaScript、VBScript、ActiveX、HTML或者Flash的手段,利用跨站脚本漏洞欺骗用户,收集Cookie等相关数据并冒充其他用户。通过精心构造的恶意代码,可以让访问者访问非法网站或下载恶意木马,如果再结合其他攻击手段(如社会工程学、提权等),甚至可以获取系统的管理权限。解决方法 对用户输入的数据进行全面安全检查或过滤,尤其注意检...
2018-09-06 10:43:44
360
原创 Web:本地搭建项目时的注意点
刚开始工作,参与业务开发的第一步是在本地先搭建好项目环境。项目搭建往往让人脑阔疼,因为动不动就可能因为某个步骤不对导致项目跑不起来。以下总结下本地项目搭建的步骤,避免之后再走弯路(使用IDE是eclipse):1.创建动态web项目,Locate选择项目具体地址。地址具体到 lib 目录所在的上一级目录(方便jar包的导入),下一步; 2.查看项目包目录,如果包目录的上一级是src,则不进行...
2018-08-23 16:04:06
288
原创 Web项目:会话Cookie中缺少HttpOnly属性和secure属性
当会话Cookie中不含有HttpOnly属性和secure属性时,注入站点的恶意脚本可能访问此Cookie,并窃取它的值。任何存储在会话令牌中的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装。基本上,cookie 的唯一必需属性是“name”字段。常见的可选属性如下:“comment”、“domain”、“path”,等等。必须相应地设置“HttpOnly”属性,才能防止会话 cookie...
2018-08-23 15:52:34
12318
2
原创 Web项目中host头攻击漏洞
=============== Web项目在通过绿盟软件扫描的时候,提示“检测到目标URL存在http host头攻击漏洞”。漏洞的本意是,HTTP请求带了HOST头,WEB取了该HOST头作进一步动作,例如拼接URL。如果这个HOST是黑客非法伪造的,比如evil.com,那么拼接之后的URL就可能是http://evil.com/key=?value=,从而导致己方网站信息的泄露。解...
2018-08-23 15:34:07
4431
转载 Struts框架学习笔记(一)
Struts框架学习笔记(一)近日在跟韩顺平老师的视频学习structs1框架,根据第1、2讲,学习笔记如下:1.什么是struts?structs是一种框架;structs是一种web框架;structs作为一种框架,在一定程度上会约束程序猿的自由。2.为什么要有struts? structs是mvc模式的一种规范。每个人对mvc模式的理解不同。它使得程序更加规范化;程序的开发效率得
2017-09-10 21:14:54
483
转载 mysql中文乱码问题解决办法
mysql中文乱码问题解决办法建库和建表时使用相同的编码格式即可,例如:create schema scheduel character set 'utf8' collate 'utf8_general_ci'; use scheduel; create table user (Uid char(20) not null, Uname
2017-07-17 15:58:02
362
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人