- 博客(5)
- 收藏
- 关注
RSS订阅原创 检测到目标主机可能存在缓慢的HTTP拒绝服务攻击
受影响站点 *********** 详细描述 缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。以Slow headers为例,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些We...
2020-10-10 16:17:05
13612
5
原创 除去虚拟目录中的旧版本文件(临时文件下载、归档文件下载)
临时文件下载 严重性:低 CVSS 分数: 5.0 URL: 实体: code (Page) 风险: 可能会下载临时脚本文件,这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息 原因: 在生产环境中留下临时文件 固定值: 除去虚拟目录中的旧版本文件 推理: 测试尝试检索源代码文件。响应未产生错误且包含非 HTML 内容,表示源代码检索已成功。修复建议:该任务修复的问题类型:归档文件下载、临时文件下载常规:归档文件下载请勿将文件的归档版本存放在...
2020-10-10 09:49:31
1458
1
原创 must be unique but found duplicate declaration of plugin org.apache.maven.plugin
maven 项目打包的时候存在的问题如下图:must be unique but found duplicate declaration of plugin org.apache.maven.plugin:maven-war-plugin解决方法:系统里有多个maven版本,本项目用的不是系统配置的maven路径,打包的时候报错,在setting里面修改为系统配置的maven路径,问题解决...
2020-09-29 17:23:40
5656
原创 自动填写未对密码字段禁用的 HTML 属性
问题描述:严重性:低 CVSS 分数: 5.0 URL: 实体: 风险: 风险: 可能会绕开 Web 应用程序的认证机制 原因: 原因: Web 应用程序编程或配置不安全 固定值: 固定值: 将“autocomplete”属性正确设置为“off” 解决方法:input中添加属性:autocomplete=off...
2020-09-21 16:14:47
668
原创 查询中接受的主体参数
风险描述:风险: 风险: 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 原因: 原因: Web 应用程序编程或配置不安全 固定值: 固定值: 请勿接受在查询字符串中发送的主体参数 解决办法:此类问题,需要匹配前后台的请求方法类型,如页面为post请求,后台接受方法应用post方式。...
2020-09-21 15:59:57
4411
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人