安全测试
xiaren_1988
这个作者很懒,什么都没留下…
展开
-
【tomcat】tomcat8.5.55特殊字符被拦截处理
背景:tomcat8.5.55等版本对特殊字符进行请求拦截,导致直接报错。间接暴露tomcat版本号,造成安全问题,及可能导致正常json参数被拦截解决方案:一、非springboot项目:修改tomcat配置文件/config/server.xml中的relaxedQueryChars属性,设置不予拦截的特殊字符,详见下图。二、springboot项目添加配置类,对集成的tomcat进行参数修改package com.springbootdemo.util;.原创 2020-10-30 16:15:53 · 2556 阅读 · 2 评论 -
【安全测试Burp】火狐浏览器配置代理
手动配置代理:HTTP代理:127.0.0.1IP端口号需要和burp 设置对应勾选“为所有协议使用相同代理”,由于拦截自己本地程序,去掉不使用代理默认带出的“localhost, 127.0.0.1” 本地服务端口和burp不能一样全面功能介绍:https://blog.csdn.net/gitchat/article/details/79168613https:...原创 2018-07-21 15:00:32 · 2858 阅读 · 0 评论 -
【安全测试Burp】设置burp代理
原创 2018-07-21 15:05:39 · 277 阅读 · 0 评论 -
【安全问题及解决】HTTP跨站请求伪造(CSRF)
概念CSRF,全称为Cross-Site Request Forgery,跨站请求伪造,是一种网络攻击方式,它可以在用户毫不知情的情况下,以用户的名义伪造请求发送给被攻击站点,从而在未授权的情况下进行权限保护内的操作。具体来讲,可以这样理解CSRF。攻击者借用用户的名义,向某一服务器发送恶意请求,对服务器来讲,这一请求是完全合法的,但攻击者确完成了一个恶意操作,比如以用户的名义发送邮件,盗...转载 2018-07-21 16:31:30 · 10003 阅读 · 0 评论 -
【跨域访问】用jsonp跨域获取数据失败了,如题,IE中报错:SCRIPT1004: 缺少 ';'
解决方案:后端返回数据改造为jsonp,用callback函数包裹返回参数,具体如下:1不指定jsonp的名称:$.ajax({ url: 'http://lifeloopdev.info/get_events', dataType: "jsonp", data: "offset=0&num_items=10", username: 'user...转载 2018-07-30 01:25:01 · 8643 阅读 · 0 评论