安全漏洞
落后挨打
这个作者很懒,什么都没留下…
展开
-
shiro反序列化漏洞修复
文章目录shiro反序列化漏洞修复前言解决方案shiro反序列化漏洞修复前言最近项目在进行安全漏洞扫描的时候,出现一个shiro的反序列化漏洞的问题:目标IP站点存在Apache shiro 已知密钥泄露导致的远程代码执行漏洞。通过查找项目源码发现,在shiro的配置文件里,确实写死了一个秘钥,在开发环境的中不建议直接写死秘钥,大家要引以为戒!解决方案后面通过源码分析,发现了shiro有自己的随机生成秘钥的方法。既然找到的方法,那就好说了,按照源码的方式新写一个秘钥生成器public cla转载 2020-06-09 15:41:51 · 15580 阅读 · 0 评论 -
检测到目标服务器启用了OPTIONS方法
添加个拦截器,即可解决public class ConfigInterceptor implements HandlerInterceptor { @Override public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) { // 解决安全漏洞:检测到目标服务器启用了OPTIONS方法 response.setHe原创 2020-06-08 15:54:03 · 5603 阅读 · 0 评论 -
检测到会话cookie中缺少HttpOnly属性
文章目录配置过滤器,过滤不规范的url。具体代码:配置类过滤器配置过滤器,过滤不规范的url。具体代码:配置类public class MyPublishConfig implements WebMvcConfigurer { /** * 配置过滤器 * @return */ @Bean public FilterRegistrationBean myFilter(){ FilterRegistrationBean regist原创 2020-06-08 15:51:23 · 936 阅读 · 0 评论 -
检测到目标主机可能存在缓慢的http拒绝服务攻击
文章目录tomcat慢速HTTP拒绝服务攻击安全问题解决办法问题说明:解决办法:tomcat慢速HTTP拒绝服务攻击安全问题解决办法问题说明:HTTP协议的设计要求服务器在处理之前完全接收到请求。如果HTTP请求未完成,或者传输速率非常低,则服务器将保持其资源占用等待剩余的数据。如果服务器占用的资源太多,则会造成拒绝服务。解决办法:修改Tomcat 配置文件 server.xml 中的 <Connector … /> 配置中,设置connectiontimeout值,默认为20000m转载 2020-06-08 15:46:28 · 18110 阅读 · 6 评论