网络安全
李晓LOVE向阳
这个作者很懒,什么都没留下…
展开
-
Appscan漏洞之Authentication Bypass Using HTTP Verb Tampering
1. Authentication Bypass Using HTTP Verb Tampering1.1、攻击原理 不安全的HTTP方法PUT/DELETE/MOVE/COPY/TRACE/PROPFIND/PROPPATCH/MKCOL/LOCK/UNLOCK允许攻击者修改web服务器文件、删除web页面、甚至上传web shell获取用户的身份信息等,它们都有可能制造出严重的安全漏洞,开发人员需要对HTTP请求类型进行控制,防止服务器资源被非授权篡改。1.2、案例分析 APPSCA原创 2020-11-30 14:56:50 · 1014 阅读 · 0 评论 -
JavaWeb安全漏洞修复总结
JavaWeb安全漏洞修复总结目录JavaWeb安全漏洞修复总结1Web安全介绍2SQL注入、盲注2.1SQL注入、盲注概述2.2安全风险及原因2.3AppScan扫描建议2.4应用程序解决方案3会话标识未更新3.1会话标识未更新概述3.2安全风险及原因分析3.3AppScan扫描建议3.4应用程序解决方案4已解密登录请求4.1已解密登录请求概述4.2安全风险及原因分析4.3AppScan扫描建议4.4应...转载 2020-11-26 14:54:52 · 2062 阅读 · 0 评论 -
Mybatis XML中 # 和 $ 哪个可以防止SQL注入
SQL注入是常见的SQL安全问题,防止SQL注入的方式有很多:JDBC方式查询,我们可以利用PreparedStatement,这样不光能提升查询效率,而且他的set方法已经为我们处理好了sql注入的问题。 ibernate方式查询,我们利用name:parameter方式查询。 在查询方法中检查sql,将非法字符,导致sql注入的字符串,过滤掉或者转化。 在页面中限制,我们通过js设置,不让用户输入非法字符。 拦截请求的每一个参数,并将这个参数的非法字符转化。SQL注入是通过把SQL命令插.原创 2020-05-22 15:44:24 · 920 阅读 · 0 评论 -
CSRF攻击与防御:跨站点请求伪造
CSRF概念:CSRF跨站点请求伪造(Cross—Site Request Forgery),跟XSS攻击一样,存在巨大的危害性,你可以这样来理解: 攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等。如下:其中Web A为...转载 2019-10-21 15:33:50 · 497 阅读 · 0 评论 -
Bugs Patterns Find Bugs 问题解决列表
Bug Cleaner扫描工程代码,根据危险级别分为:高、中、低三级。针对具体情况给出具体的解决方案。网站:http://find-sec-bugs.github.io/bugs.htm 列出几十种情况下的修改方案。网站是全英文的,本人英语水平也就那样就不翻译了,大家可以参考找百度翻译,来看。是不是有点浪费大家时间的意思,其实说吧了最重要的就是这个链接。告辞不送!公众号关注一波白,大家...原创 2019-10-21 14:48:33 · 195 阅读 · 0 评论 -
IBM AppScan 安全扫描:Missing Content-Security-Policy ;X-Content-Type-Options ;X-XSS-Protection响应头
一问题:IBM AppScan 安全扫描提示:二问题解决:1. X-XSS-Protection目的这个header主要是用来防止浏览器中的反射性xss。现在,只有IE,chrome和safari(webkit)支持这个header。正确的设置0 – 关闭对浏览器的xss防护 1 – 开启xss防护 1; mode=block – 开启...原创 2018-12-06 17:37:44 · 24840 阅读 · 0 评论 -
IBM AppScan 安全扫描:检测到RC4密码套件,服务器支持以下较弱的密码套件
一问题描述:IBM Security AppScan Standard给出系统安全报告:二解决:下面是JDK对TLS版本的支持情况:1. weblogic禁用SSLv3算法编缉$DOMAIN_HOME/bin目录下的setDomainEnv.sh,找到"JAVA_OPTIONS="处,对于10.3.6.x及之后的版本在其后追加:-Djava.net.prefe...原创 2018-12-06 17:04:22 · 8980 阅读 · 0 评论 -
IBM AppScan 安全扫描:加密会话(SSL)Cookie 中缺少 Secure 属性 处理办法
一问题描述:IBM Security AppScan Standard给出系统安全报告:原因分析:服务器开启了Https时,cookie的Secure属性应设为true;解决办法:1.服务器配置Https SSL方式,参考:https://blog.csdn.net/u013310119/article/details/801825482.修改response.set...原创 2018-12-06 16:39:10 · 2907 阅读 · 0 评论 -
WEB漏洞——启动了不安全的HTTP方法解决办法
一问题描述:IBM Security AppScan Standard给出系统安全报告:解决办法:添加一下节点代码到web.xml配置文件当中。可以在项目WEB-INF/web.xml中添加:<!-- close insecure http methods --><security-constraint> <web-resourc...原创 2018-12-06 16:15:55 · 2026 阅读 · 0 评论 -
关于Oracle WebLogic Server远程代码执行漏洞的通报
要了解Oracle Weblogic Server远程代码执行漏洞,需要了解一下Weblogic T3协议:T3也称为丰富套接字,是BEA内部协议,功能丰富,可扩展性好。T3是多工双向和异步协议,经过高度优化,只使用一个套接字和一条线程。借助这种方法,基于Java的客户端可以根据服务器方需求使用多种RMI对象,但仍使用一个套接字和一条线程。WebLogic Server 中的 RMI(远程...原创 2018-10-19 09:47:42 · 3240 阅读 · 1 评论 -
前台JS和后台java对应的RSA加密解密
问题背景:做用户认证中心对外提供的查询接口,由于涉及到用户信息,所以需要在java后台进行加密,在前台使用js解密。解决方案:java后台:package utils;import java.io.ByteArrayOutputStream;import java.security.Key;import java.security.KeyFactory;import jav...原创 2018-10-16 17:05:32 · 1360 阅读 · 2 评论 -
AES算法实现Java和JS互通加解密
问题描述:在项目中使用RSA加密解密,但是对于稍微有点长度的明文加密时,RSA就会提示加密内容过长,导致加密失败。所以在项目中对于请求参数过多的接口使用AES加密解密。具体代码:java后台:import javax.crypto.Cipher;import javax.crypto.spec.IvParameterSpec;import javax.crypto.spec.S...原创 2018-10-18 16:39:52 · 5105 阅读 · 0 评论 -
数字证书应用综合揭秘(包括证书生成、加密、解密、签名、验签)
引言数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。为现实网络安全化标准,如今大部分的 B2B、B2C、P2P、O2O 等商业网站,含有重要企业资料个人资料的信息资信网站,政府机构金融机构等服务网站大部分都使用了数字证书来加强网络的安全性。数字证书一般由经过国家认证的权威机构颁发,即CA(例如中国各地方的CA公司)中心签发的证书,也可以由企业级CA系统进行签发...转载 2018-07-16 16:59:22 · 4431 阅读 · 0 评论 -
数字证书原理,公钥私钥加密原理
文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出! 1、基础知识 这部分内容主要解释一些概念和术语,最好是先理解这部分内容。1.1、公...转载 2018-07-16 16:27:44 · 303 阅读 · 0 评论 -
Web安全 之 X-Frame-Options响应头配置
项目检测时,安全报告中存在 “X-Frame-Options” 响应头缺失问题,显示可能会造成跨帧脚本编制攻击,如下:经过查询发现:X-Frame-Options:值有三个: (1)DENY:表示该页面不允许在 frame 中展示,即便是在相同域名的页面中嵌套也不允许。 (2)SAMEORIGIN:表示该页面可以在相同域名页面的 frame 中展示。 (3)ALLOW-FROM https:...转载 2018-07-16 14:44:35 · 7122 阅读 · 3 评论 -
XSS基础了解和解决方案
主要内容什么是XSS?XSS的危害有哪些?常见的XSS漏洞如何防范XSS? 什么是XSS?跨站脚本攻击(Cross Site Scripting),是一种 Web 应用程序的漏洞,当来自用户的不可信数据被应用程序在没有验证以及反射回浏览器而没有进行编码或转义的情况下进行了处理,导致浏览器引擎执行了代码。 XSS的危害有哪些?盗取各类用户帐号,如机器登录帐号、用户网银帐号、各类管理员帐号控制企业数据...转载 2018-07-16 11:53:43 · 1400 阅读 · 0 评论