安全监测
blue_skye
这个作者很懒,什么都没留下…
展开
-
检测到目标主机可能存在缓慢的HTTP拒绝服务攻击
受影响站点 *********** 详细描述 缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。以Slow headers为例,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些We...原创 2020-10-10 16:17:05 · 13790 阅读 · 5 评论 -
除去虚拟目录中的旧版本文件(临时文件下载、归档文件下载)
临时文件下载 严重性:低 CVSS 分数: 5.0 URL: 实体: code (Page) 风险: 可能会下载临时脚本文件,这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息 原因: 在生产环境中留下临时文件 固定值: 除去虚拟目录中的旧版本文件 推理: 测试尝试检索源代码文件。响应未产生错误且包含非 HTML 内容,表示源代码检索已成功。修复建议:该任务修复的问题类型:归档文件下载、临时文件下载常规:归档文件下载请勿将文件的归档版本存放在...原创 2020-10-10 09:49:31 · 1633 阅读 · 1 评论 -
自动填写未对密码字段禁用的 HTML 属性
问题描述:严重性:低 CVSS 分数: 5.0 URL: 实体: 风险: 风险: 可能会绕开 Web 应用程序的认证机制 原因: 原因: Web 应用程序编程或配置不安全 固定值: 固定值: 将“autocomplete”属性正确设置为“off” 解决方法:input中添加属性:autocomplete=off...原创 2020-09-21 16:14:47 · 702 阅读 · 0 评论 -
查询中接受的主体参数
风险描述:风险: 风险: 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 原因: 原因: Web 应用程序编程或配置不安全 固定值: 固定值: 请勿接受在查询字符串中发送的主体参数 解决办法:此类问题,需要匹配前后台的请求方法类型,如页面为post请求,后台接受方法应用post方式。...原创 2020-09-21 15:59:57 · 4530 阅读 · 0 评论