- 博客(5)
- 收藏
- 关注
原创 服务器被上传jsp木马
有个老项目最近安全监测比较严,又双叒叕接到经理的任务,说某项目的图片文件夹里多了两个木马,让找下原因和更改办法。吧木马代码复制一段放到百度搜一下,大多指向strut2漏洞,但查看了项目jar包都已经改成2.3.15.1了应该不存在漏洞问题,然后在360网站进行认领监测得了98分,没有检测出漏洞问题(此刻对360的能力失去了信心),然后就找漏洞工具测啊测,也没测出个因为所以。最后查看木马
2016-08-25 17:31:54 1495
原创 <s:checkboxlist> 标签map回显
直接贴代码java 代码: private List ListAdapt; 增加get set方法 String[] adaptGroup= scenicDTO.getAdaptGroup().split(","); ListAdapt = new ArrayList(); for(int i = 0;i < adaptGroup.length; i++)
2016-08-20 10:42:58 309
原创 关于chrome 浏览器 iframe里无法执行alert,comfirm 等js方法
今天改一个老项目,是在chrome浏览器里点击后无法执行comfirm(),并提示Ignored call to 'alert()'. The document is sandboxed, and the 'allow-modals' keyword is not set.in the console.最后在一个英文论坛找到解决方法, 在iiframe sandbox="al
2016-08-12 14:00:38 10005 1
原创 关于 tomcat 与X-Frame-Options
公司项目 漏洞修复 有一条 “点击劫持:X-Frame-Options未配置”,在网上查了很多资料 基本上都是下面的内容使用 X-Frame-Options 有三个可选的值:DENY:浏览器拒绝当前页面加载任何Frame页面SAMEORIGIN:frame页面的地址只能为同源域名下的页面ALLOW-FROM:origin为允许frame加载的页面地址
2016-08-06 11:41:47 13637 3
原创 检测到会话cookie中缺少HttpOnly属性
今日公司的很久前的宁夏项目被甲方拿去找专业的公司扫描漏洞,有一条是检测到会话cookie中缺少HttpOnly属性意思大概是通过js可以获得用户的cookie信息从而进行攻击更改方法:tomcat6支持对JSESSIONID的cookie设置HttpOnly, 具体的设置是在conf/context.xml配置文件中进行设置的,为Context标签添加如下属性即可开启或禁止Http
2016-08-05 11:17:45 8400 1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人