网站安全修复笔记1

最新推荐文章于 2022-11-22 16:15:58 发布
最新推荐文章于 2022-11-22 16:15:58 发布
阅读量189 收藏
点赞数
文章标签: javascript ViewUI
原文链接:http://www.cnblogs.com/denglinhai/archive/2011/11/23/2260659.html
版权

QueryString 需要做多项过滤:

1、SQL盲注;

2、 跨站点脚本编制 ;

3、  Microsft FrontPage Extensions站点篡改   

4、  链接注入(便于跨站请求伪造)) 

5、  已解密的登录请求       

6、HTML注释敏感信息泄露   

7 、 Microsft FrontPage配置信息泄露 

8、   发现可能的服务器路径泄露模式    

 9  、     发现内部IP泄露模式     

10、      检测到隐藏目录 

11 、    客户端(JavaScript)Cookie引用 

12 、     已解密的_VIEWSTATE参数 

13  、    发现电子邮件地址模式  

转载于:https://www.cnblogs.com/denglinhai/archive/2011/11/23/2260659.html

weixin_30650039
关注
安全测试报告
06-13
系统安全测试报告
基于Appscan扫描漏洞修复方案
weixin_46659330的博客
07-20 4403
基于Appscan扫描发现的漏洞,以及风险分析,解决方案
文件绝对路径泄露
fansenliangren的博客
11-22 3671
网站系统对用户提交的非法请求回复错误信息,或HTML、JaveScript等源码书写疏忽等情况下,易发生服务器系统某些文件的绝对路径泄露。通过制造报错使应用泄露出应用在主机中的绝对地址路径,攻击者可以通过泄露的绝对路径,分析网站结构,为后续上传恶意后门(如webshell等)创造了条件。
2020-08-25
zyy123456789_123的博客
08-25 468
Sql盲注问题 查询中的密码参数 跨站点脚本录制 链接注入(便于跨站点伪造请求) 使用http动词篡改的认证旁路 通过框架钓鱼 Flash参数AllowScriptAccess以设置为always 查询中接受的主体参数 发现Web应用程序源代码泄露模式 发现压缩目录 归档文件下载 临时文件下载 缺少“Content-Security-Policy”头 缺少“X-Content-Type-Options”头 缺少“X-XSS-Protection”头 自动填写未对密码字段禁用的H
安全渗透学习小结
wnma3mz的博客
10-17 6304
安全渗透学习小结 本文用以记录学习过的一些安全渗透知识。 Google Hacker 参考文章:google hacker inurl: 用于搜索网页上包含的URL. 这个语法对寻找网页上的搜索,帮助之类的很有用. intext: 只搜索网页部分中包含的文字(也就是忽略了标题,URL等的文字). site: 可以限制你搜索范围的域名. filetype: 搜索文件的后缀或者扩展名 intitle:...
web安全学习笔记.pdf
09-20
* 保持软件和框架的最新版本,以修复已知的安全漏洞。 * 使用安全的密码存储和身份验证机制。 * 实施安全的数据存储和传输机制。 * 定期进行安全测试和风险评估。 Web 安全学习笔记为我们提供了一个全面的了解 Web ...
it笔记本技术宅网站模板
04-09
10. 测试与维护:在上线前进行多浏览器兼容性测试,定期更新和修复任何潜在问题,保持网站的稳定运行。 通过这些知识点的运用,一个“it笔记本技术宅网站模板”可以构建得既专业又吸引人,满足IT爱好者的需求。
怎么修复笔记本电脑电池.docx
09-27
- 访问笔记本电脑的官方网站,下载电池刷新程序。 2. **进入安全DOS模式**: - 重启计算机,并在启动菜单中通过按F8键选择安全DOS模式。 3. **执行电池刷新程序**: - 在下载好的程序所在的目录下,运行电池...
笔记本销售网站的设计与实现
最新发布
04-21
1. 输入验证:防止SQL注入和跨站脚本攻击,确保用户数据安全。 2. 会话管理:通过Session或Cookie管理用户会话,防止未授权访问。 3. 数据加密:敏感信息如密码应进行加密存储,增强数据安全性。 4. 性能优化:合理...
ASP笔记本销售网站论文
09-02
4. **安全性**:确保网站安全性是至关重要的,ASP支持各种安全措施,如SSL加密、验证码、会话管理等,防止数据泄露和恶意攻击。 5. **状态管理**:由于Web的无状态特性,ASP通过Cookie或Session来保持用户状态,...
web漏扫问题处理1
walid的博客
05-14 1854
转载:https://www.cnblogs.com/roostinghawk/p/8427362.html 公司用绿盟科技的远程安全评估系统扫描了项目,发现一些安全隐患,记录下来,以规避以后编程或者发布时犯同样的错误。 目标web应用表单存在口令猜测攻击 风险:登录密码易被暴力破解,暴力破解是一种常见的弱口令猜测攻击方式,通过由字母、数字、字符组成的每一种不同组合进行口令猜测直到发现正确的口令。 如果登录页面对密码猜测攻击没有任何防护措施,攻击者可以采用暴力枚举的方式破解用户口令。 解决思路:阻止客户
IBM AppScan 各种测试问题修改方案
yangye1225的博客
01-03 9259
1. SQL注入文件写入(需要用户验证) 解决办法:通过建立过滤器方法,对所有用户输入信息进行清理过滤。通过清理过滤用户输入所包含的危险字符,便可能防止恶意的用户导致应用程序执行计划外的任务,例如:启动任意 SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令等。 建议过滤出所有以下字符: [1] |(竖线符号) [2] &
安全测试
jffhy2017的博客
01-16 2425
测试类型:应用程序级别测试,基础结构测试 威胁分类:信息泄露,认证不充分,操作系统命令,sql注入,可预测资源位置,跨站点请求伪造,传输层保护不足,会话定置 1.sql盲注; 风险:可能会查看、修改或删除数据库条目和表; 原因:未对用户输入正确执行危险字符清理;应用程序易收到攻击; 威胁分类:sql盲注 测试类型:应用程序级别测试 2.使用sql注入的认证旁路 风险
WordPress页面异常导致本地路径泄漏漏洞修复办法
金林苑
12-03 1630
页面异常导致本地路径泄露 网站安全检测可能会出现这样一项漏洞,漏洞的修复办法: 如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息: 1.修改php.ini中的配置行: display_errors = off 2.修改httpd.conf/apache2.conf中的配置行: php_flag
安全测试报告解读
09-27 5474
具体工作情景上篇Blog说了,此处不多赘言,写这篇,是因为后来我想起来这个测试报告的信息量很大,值得学习一下报告本身的一些技术内容,写这个blog就是这个个学习的过程。        这个报告由AppScan8.6扫描得出,主要分为以下问题类型:         SQL 盲注8 SQL 注入1 跨站点脚本编制9 使用 SQL 注入的认证旁路1 已解密的登录请求5 链接注入(便于
安装VS2003出现问题——Microsoft FrontPage 2000 Web 扩展客户端安装不成功 及其解决方法
热门推荐
reille的笔记
05-08 1万+
更多请关注:http://velep.com/ 前言: 之前在公司安装VS2003的时候,没有出现过问题,很顺利,但在家安装时出现过问题,当时不记得怎么解决的。 今天在自己笔记本上再次安装VS2003时,又出现了问题。   VS2003光盘介绍: VS2003,有三张ISO光盘,分别是: sc_vs.net_2003_prereq.iso; sc_vs.net_2003_enar_
Django 1.6网站开发学习笔记:数据库配置与错误修复
"这是一份关于使用Django 1.6进行网站开发的学习笔记,主要针对《Learing Website Development with Django 1.6》一书的内容进行了修改和补充,适用于在Linux环境下使用UTF8编码阅读。笔记包含了数据库配置、应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值