java 四个漏洞的解决方法

已于 2022-08-31 13:20:24 修改
阅读量486 收藏 1
点赞数
文章标签: java html5 javascript spring boot tomcat
于 2022-08-31 10:46:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45040575/article/details/126618574
版权

目录 

1.HTML中ajax表单提交CSRF保护

 2.使用GET方法提交的密码字段

3.慢速HTTP拒绝服务攻击

4.ApacheJServ协议服务

1.HTML中ajax表单提交CSRF保护

    HTML5形式:               

 <meta name="csrf-token" content="{{ csrf_token() }}">



 $.ajaxSetup({headers: {'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')}});

JSP形式

 2.使用GET方法提交的密码字段

        HTML5形式的---加入method = "post"

<form id="formDiv" action="" method="post">

3.慢速HTTP拒绝服务攻击

        springboot项目-apache:

#工作线程的最大数量。
server.tomcat.threads.max=100
#工作线程的最小数量。
server.tomcat.threads.min-spare=50
server.tomcat.max-spare-threads=100
server.tomcat.connection-timeout=8000
server.tomcat.accept-count=100

         tomact项目  ---修改server.xml  ---connectionTimeout值20000修改为8000

<Connector port="8080" protocol="HTTP/1.1"
                     maxHttpHeaderSize="8192"
                     maxThreads="100"
                     minSpareThreads="50"
                     maxSpareThreads="100"
                     minProcessors="50"
                     maxProcessors="100"
                     enableLookups="false"
                     connectionTimeout="8000"
                     acceptCount="100"
                     redirectPort="8443" URIEncoding="UTF-8"/>

4.ApacheJServ协议服务

        Apache: --- 讲springboot项目自带的tomact升级为9以上,9版本之后的tomact已讲8009端口注释掉

<!-- 外部tomcat库 -->
<dependency>
    <groupId>org.apache.tomcat</groupId>
    <artifactId>tomcat-servlet-api</artifactId>
    <version>9.0.24</version>
    <scope>provided</scope>
</dependency>

tomcat: 自己配置tomact修改tomcat

        在tomact的service.xml配置文件中 将 这一行注释掉 注释掉端口8009启动的项目

<Connector port="8009" protocol="AJP/1.3" redirectPort="8443" />

非乐成长
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
JAVA解决CSV注入漏洞的代码
搬砖人生的博客
10-29 3652
JAVA处理写入CSV的命令,函数等。处理特殊字符(“+、-、@、=”)以及逗号引起的格式问题
SSRF漏洞JAVA解决方案
柳落青
09-16 4024
SSRF(Server-side Request Forge, 服务端请求伪造)。由攻击者构造的攻击链接传给服务端执行造成的漏洞,一般用来在外网探测或攻击内网服务。
随便贴两个漏洞,如 Apache JServ协议服务
weixin_30493401的博客
07-31 1109
1、Apache JServ协议服务 描述:Apache JServ协议(AJP)是一种二进制协议,可以将来自Web服务器的入站请求代理到 位于Web服务器后面的应用程序服务器。不建议在互联网上公开使用AJP服务。 如果AJP配置错误,可能会允许攻击者访问内部资源。 我的修复建议:{tocamat目录}/conf/server.xml中将下面的配置给注释掉: 2、没有CSR...
密码字段通过 GET 方法传输
LuckySec
12-20 1300
密码字段通过 GET 方法传输是不安全的,因为在传输过程,用户凭据以明文等形式被放在请求的 URL 中。大多数 Web 服务器将记录所有请求的参数和 URL ,因此当凭据属于 URL 的一部分时,它们将显示在 Web 服务器日志中,这样就可能会有一些隐私信息被第三方查看获取。另外,攻击者也可以通过中间人攻击等手段,截获到 GET 请求 URL 中到用户凭据,增加了敏感信息泄露的风险。而 POST 请求方式通过“请求体”传递数据,参数内容不会在 URL 中显示,相较于 GET 请求方式会更加安全。
Apache Tomcat文件包含漏洞复现(详细教程)
最新发布
weixin_60838266的博客
07-18 2142
Tomcat是Apache开源组织开发的用于处理HTTP服务的项目,两者都是免费的,都可以做为独立的Web服务器运行。Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含 Tomcat 上所有 webapp 目录下的任意文件,如:webapp 配置文件或源代码等。Apache Tomcat服务器通过Connector连接器组件与客户程序建立连接,Connector表示接收请求并返回响应的端点。即Connector组件负责接收客户的请求,以及把Tomcat服务器的响应结果发送给客户。
缓慢的 HTTP 的拒绝服务攻击
waitle500的博客
01-26 6417
缓慢的 HTTP 的拒绝服务攻击
Apache Tomcat 缓慢的HTTP拒绝服务攻击
无间行者
12-12 6059
Apache Tomcat 缓慢的HTTP拒绝服务攻击 漏洞详情 缓慢的HTTP拒绝服务攻击是一种专门针对于Web的应用层拒绝服务攻击,攻击者操纵网络上的肉鸡,对目标Web服务器进行海量HTTP请求攻击,直到服务器带宽被打满,造成了拒绝服务。 慢速HTTP拒绝服务攻击经过不断的演变和发展,主要有三种攻击类型,分别是Slow headers、Slow body、Slow read。以Slow headers为例,Web应用在处理HTTP请求之前都要先接收完所有的HTTP头部,因为HTTP头部中包含了一些
JAVA项目实践,URL存在跨站漏洞,注入漏洞解决方案.docx
10-26
### JAVA项目实践:URL存在的跨站漏洞与注入漏洞解决方案 #### 一、跨网站脚本(XSS)概述 跨网站脚本(Cross-site scripting,通常简称为XSS或跨站脚本攻击)是一种常见的安全漏洞攻击方式,尤其针对网站应用程序。...
关于Java程序多线程递归弥补管理漏洞
08-10
四、 Java多线程递归弥补管理漏洞的优点 Java多线程递归弥补管理漏洞技术有以下几个优点: * 提高程序的稳定性:Java多线程递归弥补管理漏洞技术可以避免多线程递归中出现的管理漏洞问题,从而提高程序的稳定性。 ...
基于图网络的Java反序列化漏洞检测方法(毕设&课设论文参考).pdf
02-02
综上所述,基于图网络的Java反序列化漏洞检测方法SerialFinder提供了一种全新的解决方案。通过对软件调用链进行建模和分析,SerialFinder能够在一定程度上克服传统方法的局限性,提高漏洞检测的准确性和效率。未来的...
Connection Timeout和Command Timeout
热门推荐
菜鸟学编程
10-07 2万+
每次对数据库连接时,我们有时候会碰到连接超时或者命令超时,这两个超时是不一样的。以ADO.NET为例,当客户端和服务器端连接时,碰到的超时情况主要有下面几种: 当从连接池获取一个连接时,碰到超时。 当建立一个全新连接(而不是从连接池获取)时,碰到超时。 当发送一个命令(command)到SQL Server时,超时。 当发送命令(连接字符串带有“context connection=tru
tomcat 7的Connector的connectionTimeout配置
点点滴滴
10-12 5268
同事将tomcat 7的的Connector的connectionTimeout配置为0,结果出现了如下的错误: 比较大的文件无法下载,下载一部分就停止了。日志监控中能看到下面的错误, net error CONTENT LENGTH MISMATCH ClientAbortException IOException  原来,connectionTimeout配置为0表示超时时间为...
缓慢的http拒绝服务攻击 tomcat_Apache Tomcat HTTP/2 拒绝服务攻击漏洞安全风险通告...
weixin_39640773的博客
12-09 1066
点击上方蓝字关注我们!漏洞背景2020年6月29日,嘉诚安全监测发现Apache官方发布了Tomcat HTTP/2拒绝服务攻击漏洞的风险通告,漏洞编号 CVE-2020-11996,漏洞等级:中危。Apache Tomcat 是一个开放源代码、运行servlet和JSPWeb应用软件的基于Java的Web应用软件容器。嘉诚安全提醒相关用户及时更新,以免引发漏洞相关的网络安全事件。漏洞详...
Slow HTTP POST慢速攻击
Java技术栈,分享最主流的Java技术
01-25 3873
测试工具 模拟测试工具:slowhttptest https://github.com/shekyan/slowhttptest 安装: https://github.com/shekyan/slowhttptest/wiki 使用: slowhttptest -c 5000 -u [hostname/ip] -c 表示发起5000个连接,由于是慢速DDOS
网站扫描出缓慢的 HTTP 的拒绝服务攻击*1
qq_42979402的博客
04-20 1372
当我们工作时把项目成果交付给使用方,对方可能会使用一些专业工具对我们的网站进行漏洞检测,其中常见的漏洞有以下两个 1.缓慢的 HTTP 的拒绝服务攻击1 2.不安全的cors配置 **1.缓慢的 HTTP 的拒绝服务攻击1** 如果我们是传统的ssm项目 <Connector port="8080" protocol="HTTP/1.1" connect...
Apache Jserv protocol
weixin_58088629的博客
09-27 417
该协议主要是以二进制的格式,而不是以文本的格式传输数据的。使用TCP和基于包的协议,增加了WEB服务器的性能。 mod_jk和mod_proxy就是基于AJP协议的。mod_jk是一个AJP连接器,它常被用来web服务器和tomcat的集成,比如Apache或者IIS等。 下载地址:h6pcode[root@localhost opt]# tar -zxvf tomcat-connectors-2.2.x-src.tar (2)运行配置命令[root@localhost opt]# t...
常见服务/协议漏洞
a1b2c3是弱口令
08-22 5883
FTP 服务 FTP服务:ftp服务我分为两种情况,第一种是使用系统软件来配置,比如IIS中的FTP文件共享或Linux中的默认服务软件;第二种是通过第三方软件来配置,比如Serv-U还有一些网上写的简易ftp服务器等; 默认端口:20(数据端口);21(控制端口);69(tftp小型文件传输协议) 攻击方式: 爆破:ftp的爆破工具有很多,这里我推荐owasp的Bruter 以及msf中f...
检测到目标主机可能存在缓慢的http拒绝服务攻击
weixin_43135696的博客
03-04 6000
#tomcat慢速HTTP拒绝服务攻击安全问题解决办法 修改Tomcat 配置文件 server.xml 中的 <Connector … /> 配置中,设置connectiontimeout值,默认为20000ms,修改为8000ms <Connector port="8080" protocol="HTTP/1.1" maxHttpHeaderSize="8192" maxThreads="100"
什么是Java四个基本特性?
07-13
Java四个基本特性是: 1. 简单性(Simplicity):Java语言的设计简洁明了,容易学习和使用。它摒弃了一些复杂的特性,如指针和多重继承,使得开发者能够更加专注于解决问题而不是被语言本身的复杂性所困扰。 2. 面向对象(Object-oriented):Java是一种面向对象的编程语言,支持类和对象的概念。它提供了封装、继承和多态等面向对象的特性,使得代码具有可重用性、灵活性和可维护性。 3. 平台无关性(Platform independence):Java程序可以在不同的操作系统上运行,因为它通过Java虚拟机(JVM)来实现跨平台。Java源代码在编译后生成字节码,而不是特定于某个操作系统的机器码,这些字节码可以在任何支持Java虚拟机的平台上运行。 4. 安全性(Security):Java提供了多层次的安全机制,以确保程序的安全性。它通过字节码校验、安全管理器和沙箱机制等功能来防止恶意代码的执行,并保护系统免受潜在的安全漏洞。这使得Java成为开发安全可靠应用程序的理想选择。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值