web安全
文章平均质量分 64
冰点.
《Redis从入门到精通2023版》作者-
日拱一卒无有尽,功不唐捐终入海。路漫漫其修远兮。吾将上下而求索
展开
-
Apache Web服务器安全配置
作为最流行的Web服务器,Apache Server提供了较好的安全特性,使其能够应对可能的安全威胁和信息泄漏。 Apache 服务器的安全特性 1、 采用选择性访问控制和强制性访问控制的安全策略 从Apache 或Web的角度来讲,选择性访问控制DAC(Discretionary Access Control)仍是基于用户名和密码的,强制性访问控制MAC(Mand转载 2016-08-29 10:19:22 · 961 阅读 · 0 评论 -
跨站点请求伪造(CSRF攻击)漏洞原理和解决指南
跨站点请求伪造(CSRF)是一种常见的Web安全漏洞,攻击者利用该漏洞可以以被攻击用户的身份执行未经授权的操作。下面是CSRF攻击的原理:1. 用户登录网站:用户在一个网站上登录,并获取了有效的会话凭证(如Cookie)。2. 攻击者准备攻击页面:攻击者准备一个恶意网页,该网页会在用户浏览器中加载并执行。3. 用户访问恶意网页:用户在登录网站后,访问了攻击者准备的恶意网页,该网页中包含了攻击者构造的恶意请求。原创 2016-12-15 13:30:08 · 9343 阅读 · 2 评论 -
常见系统质量安全性问题相关解决方法
1. SQL注入文件写入(需要用户验证)解决办法:通过建立过滤器方法,对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。建议过滤出所有以下字符:[1] |(竖线符号)[2] &原创 2016-12-16 15:45:13 · 1440 阅读 · 1 评论 -
会话cookie 中缺少 HttpOnly 属性安全漏洞原理和解决方案
HttpOnly 是一种 cookie 属性,它的作用是防止客户端的脚本语言(如JavaScript)访问和操作 cookie。当一个 cookie 的 HttpOnly 属性被设置为 true 时,客户端脚本无法通过 document.cookie 或其他方法读取或修改该 cookie。原创 2016-12-16 09:33:19 · 13435 阅读 · 0 评论 -
漏洞预警:Tomcat曝本地提权漏洞
Tomcat于10月1日曝出本地提权漏洞CVE-2016-1240。仅需Tomcat用户低权限,攻击者就能利用该漏洞获取到系统的ROOT权限。而且该漏洞的利用难度并不大,受影响的用户需要特别关注。Tomcat是个运行在Apache上的应用服务器,支持运行Servlet/JSP应用程序的容器——可以将Tomcat看作是Apache的扩展,实际上Tomcat也可以独立于Apache运行。转载 2016-12-05 11:54:02 · 1684 阅读 · 0 评论 -
开启apache服务器gzip压缩
1.找到并打开apache/conf目录中的httpd.conf文件2.httpd.conf中打开deflate_Module和headers_Module模块,具体做法为将 如下两句前面的#去掉:LoadModule deflate_module modules/mod_deflate.soLoadModule headers_module modules/mo转载 2016-10-08 13:31:15 · 918 阅读 · 0 评论 -
dedecms上传漏洞uploadsafe.inc.php 整理
自从买了阿里云的ecs 之后每次出现漏洞阿里云盾就会通知,前段时间部署的项目检测出上传漏洞根据网上大神们的博客整理了下,下面这个是可行的dedecms上传漏洞uploadsafe.inc.php,这里整理了大神们对于这个漏洞的解释1. 漏洞描述1. dedecms原生提供一个"本地变量注册"的模拟实现,原则上允许黑客覆盖任意变量2. dedecms原创 2016-09-06 11:50:33 · 11110 阅读 · 0 评论 -
dedecms cookies泄漏导致SQL漏洞 article_add.php 的解决方法
漏洞名称:dedecms cookies泄漏导致SQL漏洞补丁文件:/member/article_add.php补丁来源:云盾自研漏洞描述:dedecms的文章发表表单中泄漏了用于防御CSRF的核心cookie,同时在其他核心支付系统也使用了同样的cookie进行验证,黑客可利用泄漏的cookie通过后台验证,进行后台注入。解决方法搜索代码:if原创 2016-09-06 11:42:43 · 8085 阅读 · 0 评论 -
Apache 安全配置方法
Apache易于安装并且相当容易管理。不幸的是,许多Apache的安装由于为完全的陌生者提供了关于自己服务器的太多”有帮助”的信息,例如 Apache的版本号和与操作系统相关的信息。通过这种信息,一个潜在的攻击者就可以追踪特定的可以影响你的系统的破坏性漏洞,特别是你没有能够保持所有补丁的更新的话情况更为严重。如此一来,攻击者无需反复试验就可以确切地知道你在运行什么,从而可以调整其攻击方法。 要防止服转载 2016-08-29 10:25:35 · 5233 阅读 · 0 评论 -
关于Apache Struts2存在S2-045远程代码执行漏洞
一、漏洞简介 Apache Struts是美国阿帕奇(Apache)软件基金会负责维护的一个开源项目,是一套用于创建企业级Java Web应用的开源MVC框架,主要提供两个版本框架产品:Struts 1和Struts 2。Apache Struts 2.3.5 - 2.3.31版本及2.5 - 2.5.10版本存在远程代码执行漏洞(CNNVD-201703-152,CVE-2017-56转载 2017-03-07 18:34:47 · 1388 阅读 · 0 评论