关注
分享
随着Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客们的强烈关注,接踵而至的就是Web安全威胁的凸显,黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限,轻则篡改网页内容,重则窃取重要内部数据,更为严重的则是在网页中植入恶意代码,使得网站访问者受到侵害。
江小白写bug
为互联网添油加醋
展开
-
SpringMVC 反射型跨站点脚本攻击
服务端校验,添加拦截器。原创 2023-08-21 13:47:31 · 1081 阅读 · 0 评论 -
springMVC 已解密的登录请求
3. 将产品HTTP访问方式改为SSL安全访问方式;(注:keystore/server.keystore为证书存储路径;123456为证书密码;2. 手动生成SSL安全访问证书;在此不做介绍,相关方法可通过网上查找;1.对用户所输入的密码在页面进行MD5加密并反馈至密码输入框。原创 2023-08-21 13:39:23 · 781 阅读 · 0 评论 -
SQL 盲注
web.xml 文件配置拦截器。原创 2023-08-21 13:33:39 · 796 阅读 · 0 评论 -
springMVC Unix 文件参数变更漏洞修复
未检查用户输入中是否包含“…”(两个点)字符串,比如 url 为 /login?cookie为Cookie: JSESSIONID=…/webapps/RTJEKSWTN26241;解决办法:通过建立过滤器方法,增加对所有用户输入信息中是否包含“..”(两个点)字符串进行清理过滤。使用AppScan扫描之后可以通过这样的方式进行指定问题手动测试。使用过滤器过滤参数以及cookie中的…web.xml 配置拦截器。原创 2023-08-21 13:23:54 · 2053 阅读 · 0 评论 -
JS 禁止F12和右键操作控制台,兼容各浏览器
执行效果:注意事项生产环境请注销掉alert方法;(因为先点击鼠标按键,弹出提示框,然后点击12,在点击alert 确认按钮时,就会就会打开控制台,注销掉alert方法就好,或者用其他前端框架的提示框代替alert,这种方法我尚未尝试)代码块: <script type="text/javascript" >// **JS 禁止F12和右键操作控制台,兼容各浏览器**// 1.鼠标点击事件 document.onmousedown = func...原创 2020-06-05 10:01:24 · 722 阅读 · 1 评论 -
Content-Security-Policy,X-Frame-Options头未设置”警告的过滤器
安全监测反馈如下:有时候为了防止网页被别人的网站iframe,我们可以通过在服务端设置HTTP头部中的X-Frame-Options信息。X-Frame-Options 响应头有三个可选的值:DENY:页面不能被嵌入到任何iframe或frame中;SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中;ALLOW-FROM:页面允许frame或frame...原创 2019-05-23 09:04:22 · 8415 阅读 · 0 评论 -
Web 安全之内容安全策略(Content-Security-Policy,CSP)配置问题
简单的配置方式:Content-Security-Policy,X-Frame-Options头未设置”警告的过滤器1.CSP 简介内容安全策略(Content Security Policy,简称CSP)是一种以可信白名单作机制,来限制网站是否可以包含某些来源内容,缓解广泛的内容注入漏洞,比如 XSS。 简单来说,就是我们能够规定,我们的网站只接受我们指定的请求资源。默认配置下不允许执行...原创 2019-05-23 09:07:32 · 30185 阅读 · 1 评论 -
Jboss CVE-2017-12149JBoss 反序列化漏洞利用
CVE-2017-12149漏洞描述 互联网爆出JBOSSApplication Server反序列化命令执行漏洞(CVE-2017-12149),远程攻击者利用漏洞可在未经任何身份验证的服务器主机上执行任意代码。漏洞危害程度为高危(High)。 影响范围 漏洞影响5.x和6.x版本的JBOSSAS。 漏洞原理 JBOSS Application Server是一个基于J2EE的开放...原创 2019-06-13 16:45:09 · 2442 阅读 · 0 评论