blue_skye的专栏

受影响站点 *********** 详细描述 缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击，攻击者操纵网络上的肉鸡，对目标Web服务器进行海量HTTP请求攻击，直到服务器带宽被打满，造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的演变和发展，主要有三种攻击类型，分别是Slow headers、Slow body、Slow read。以Slow headers为例，Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部，因为HTTP头部中包含了一些We...

临时文件下载 严重性：低 CVSS 分数： 5.0 URL： 实体： code (Page) 风险： 可能会下载临时脚本文件，这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息 原因： 在生产环境中留下临时文件 固定值： 除去虚拟目录中的旧版本文件 推理： 测试尝试检索源代码文件。响应未产生错误且包含非 HTML 内容，表示源代码检索已成功。修复建议：该任务修复的问题类型：归档文件下载、临时文件下载常规：归档文件下载请勿将文件的归档版本存放在...

maven 项目打包的时候存在的问题如下图：must be unique but found duplicate declaration of plugin org.apache.maven.plugin：maven-war-plugin解决方法：系统里有多个maven版本，本项目用的不是系统配置的maven路径，打包的时候报错，在setting里面修改为系统配置的maven路径，问题解决...

问题描述：严重性：低 CVSS 分数： 5.0 URL： 实体： 风险： 风险： 可能会绕开 Web 应用程序的认证机制 原因： 原因： Web 应用程序编程或配置不安全 固定值： 固定值： 将“autocomplete”属性正确设置为“off” 解决方法：input中添加属性：autocomplete=off...

风险描述：风险： 风险： 可能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 原因： 原因： Web 应用程序编程或配置不安全 固定值： 固定值： 请勿接受在查询字符串中发送的主体参数 解决办法：此类问题，需要匹配前后台的请求方法类型，如页面为post请求，后台接受方法应用post方式。...