- 博客(6)
- 收藏
- 关注
原创 会话cookie中缺少HttpOnly属性漏洞--分析解决
详细描述会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
2018-06-28 18:01:12 17797
原创 目标URL存在内部IP地址泄露--分析解决
详细描述内部 IP 定义为下列 IP 范围内的 IP: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 192.168.0.0 - 192.168.255.255 对攻击者而言,泄露内部 IP 非常有价值,因为它显示了内部网络的 IP 地址方案。知道内部网络的 IP 地址方案,可以辅助攻击者策划出对内部网络进一步的攻击。 解决办法内部...
2018-06-28 15:46:08 11084 1
原创 目标URL存在http host头攻击漏洞--分析解决
漏洞描述: 详细描述 为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。 例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。 解决办法 web应用程序应该使用SE...
2018-06-28 11:04:50 10427 3
原创 目录遍历与文件读取漏洞
一些网站的业务需求,可能提供文件查看或下载功能,如果对用户查看或下载的文件不做限制,那么用户就能够查看和下载任意2文件,可以使源代码文件、敏感文件等。详细描述 目录遍历是通过操作URL强行访问web目录以外的文件,目录和命令,攻击者可以在目标机器的任何位置访问文件,执行命令。 最基本的目录遍历攻击技术是在URL中使用"../"序列,改变访问资源的路径,访问到web目录以外的文件。例如:...
2018-06-27 20:26:04 4586
转载 (转)java多线程之内存可见性
java多线程之内存可见性:1.什么是可见性 可见性:一个线程对共享变量值的修改,能够及时地被其他线程看到。共享变量:如果一个变量在多个线程的工作内存中都存在副本,那么这个变量就是这几个线程的共享变量。Java内存模型(JMM)Java内存模型(Java Memory Model)描述了Java程序中各种变量(线程共享变量)的访问规则,以及在JVM中将变量存储到内存和从内存中读取出变量这样的底层细...
2018-06-26 20:30:21 209
原创 《java并发编程实战》基础知识——1
第一部分 基础知识第二章 线程安全性1.java中的主要同步机制是关键字synchronized,它提供了一种独占的加锁方式,但“同步”这个术语还包括volatile类型的变量,显示锁(Explicit Lock)以及原子变量。2.如果当多个线程访问同一个可变的状态变量时没有使用合适的同步,那么程序就会出现错误。有三种方式可以修复这个问题:不在线程之间共享该状态变量将状态变量修改为不可变的变量在访...
2018-06-25 09:25:59 222
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人