安全漏洞
文章平均质量分 64
蔡吉奏
你若向阳,何惧忧伤!
展开
-
如何禁止不必要的 HTTP 方法,如DELETE,PUT,OPTIONS等协议访问应用程序
一、修改应用程序的server.xml文件的协议为HTTPS, disableUploadTimeout="true" enableLookups="false" maxThreads="25" keystoreFile="d:\tomcat.keystore" keystorePass="111111" protocol="org.apache.coyote原创 2016-02-01 16:34:26 · 17788 阅读 · 0 评论 -
实施针对 TLS_FALLBACK_SCSV 的支持。禁用 SSLv3 支持
如果需要 SSLv3,请在 SSLv3 上禁用 CBC 密码套件.如果需要 CBC 密码套件,请将服务器设置为在 SSLv3 中首选 RC4 密码套件,而不是 CBC 密码套件。 实施 TLS_FALLBACK_SCSV。此外,要么完全禁用 SSLv3,要么禁用以通过 SSLv3 的 CBC 模式操作的所有密码套件。这个说法是让我们启用TLS_FALLBACK_SCSV,禁用S原创 2016-02-01 16:50:17 · 8311 阅读 · 0 评论 -
XXx外网检测到目标URL存在基于DOM的跨站脚本漏洞
为了配合XXx门户网站等级保护,xxx购置了xx的漏洞扫描服务器。经过扫描,发现我们外网WEB服务器上有一个检测到目标URL存在基于DOM的跨站脚本漏洞,具体请见附件。咨询过xx技术人员,他们的说法是外网WEB上的部关代码不符合规范。这个外网算起来很老了,维护阶段出现这种东西,有点晕,毕竟不是自己写的代码。以前很少去注意这些东西,这个到底是怎么回事呢。在网上找了篇文章,有什么疑问的话会转载 2016-02-03 12:50:41 · 11548 阅读 · 1 评论