解决方案
iteye_8125
这个作者很懒,什么都没留下…
展开
-
问题集锦一
2011-12-28: 问:如何使用JS闭包控制对象属性访问范围? 解:http://alexgao.iteye.com/admin/blogs/1633611 2012-01-08: 问:如何理解threadLocal?该如何应用? 解:http://alexgao.iteye.com/admin/blogs/1634060 2012-01-10: 问:什么是复合主键?...原创 2011-12-28 14:31:24 · 73 阅读 · 0 评论 -
AppScan中的安全漏洞类型及解决方案
记录下近期项目中使用AppScan发现的安全漏洞,在后续持续跟踪: 1. 内部IP泄露; 2.检测到应用程序检测脚本; 3.HTML敏感信息泄露; 4.跨站点请求伪造; 5.发现内部IP泄露模式; 6.已解密的登录请求;(明文发送请求参数) 7.会话标识未更新;(不要接受外部创建的会话标识) 8.SQL盲注; 9.登录错误消息凭证枚举; 其中“跨站点请求伪造”类型的安全...原创 2012-06-25 16:56:14 · 3163 阅读 · 1 评论 -
跨站点请求伪造防范(转载)
CSRF 的防范机制有很多种,防范的方法也根据 CSRF 攻击方式的不断升级而不断演化。常用的有检查 Refer 头部信息,使用一次性令牌,使用验证图片等手段。出于性能的考虑,如果每个请求都加入令牌验证将极大的增加服务器的负担,具体采用那种方法更合理,需要谨慎审视每种保护的优缺点。 1. 检查 HTTP 头部 Refer 信息,这是防止 CSRF 的最简单容易实现的一种手段。根据 RFC ...原创 2012-06-28 11:52:35 · 378 阅读 · 0 评论