![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
安全漏洞
意料之中。
每天学习一点点,就会进步一点点,期待遇见更好的自己!
展开
-
会话重放攻击与完整性校验解决方案
简介:攻击者发送一个目的主机已经接收过的包,特别是在认证的过程中,用于认证用户身份所接收的包,来达到欺骗系统的目的,主要用于身份认证过程,破坏认证的安全性。也可利用系统中POST请求数据包未针对单个请求设置有效的验证参数,导致会话请求可以重放,无限制的向数据库中插入海量数据,或无限制的上传文件到系统中,造成资源浪费。解决方案:后端写个方法,生成系统当前时间,待前台调用System.cu...原创 2020-05-03 18:36:45 · 5354 阅读 · 3 评论 -
安全漏洞: XSS跨站脚本攻击与Sql注入攻击
一 、 XSS介绍XSS是跨站脚本攻击(Cross Site Scripting)的缩写。为了和层叠样式表CSS(Cascading Style Sheets)加以区分,因此将跨站脚本攻击缩写为XSS。XSS是因为有些恶意攻击者往Web页面中插入恶意Script代码,当用户浏览该页面时,嵌入的Script代码将会被执行,从而达到恶意攻击用户的特殊目的。二、XSS攻击目的及原理由于对XSS攻击...原创 2020-04-27 16:30:08 · 2392 阅读 · 1 评论 -
安全漏洞: 错误信息未封装,暴露sql语句
springBoot项目resources目录下的mybatis-cfg.xml文件.将以下内容注释掉,就不会在出现错误时将sql语句打印出来<settings> <setting name="XX" value="XXXX" /></settings>...原创 2020-04-11 15:25:25 · 1185 阅读 · 0 评论 -
安全漏洞:后端禁用不安全的http方法
漏洞描述: Web服务器默认情况下开放了一些不必要的http方法,如DELETE、PUT、TRACE、MOVE等,很可能会在Web服务器上上传、修改或者删除Web页面、脚本和文件。使系统容易受到攻击。解决方案: 禁用不必要的HTTP方法,修改应用程序的Web.xml,在文件中添加如下代码:<security-constraint> <web-resource-colle...原创 2020-04-26 16:30:13 · 1452 阅读 · 0 评论 -
安全漏洞:JS文件中暴露系统绝对路径
鼎折覆餗原创 2020-04-26 17:47:11 · 1343 阅读 · 0 评论 -
安全漏洞: 不安全的cookie传输
漏洞危害:1、用户名和密码保存在cookie中,易被窃取,且密码可被还原成明文信息;2、会话cookie不包含secure属性,因此注入站点的恶意脚本可能访问此cookie,并窃取它的值。任何存储在会话令牌中的信息都可能被窃取,并在后续攻击中用于身份盗窃或用户伪装。防护建议:1、敏感数据如非必要,不要利用cookie传递交换。2、密码等敏感数据传输时应加密处理。3、设置cooki...原创 2020-04-26 17:30:43 · 2236 阅读 · 0 评论