![](https://img-blog.csdnimg.cn/20201014180756927.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
项目漏洞
项目随记
谨心$
思想实现编程,编程改变世界
展开
-
Apache Shiro 默认密钥致命令执行漏洞(CVE-2016-4437)
目录1 漏洞描述2 漏洞特征3 修复建议4 解决办法4.1 升级shiro到最新版本4.2 自定义生成AESkey(Apache Shiro使用官方自带的生成AES密钥)5 参考网址1 漏洞描述 Apache Shiro 是ASF旗下的一款开源软件,它提供了一个强大而灵活的安全框架,提供身份验证、授权、密码学和会话管理。在Apache Shiro部分旧版本中,加密的用户信息序列化后存储在名为remember-me的Cookie中,攻击者可以使用Shiro的默认密钥...原创 2020-12-21 14:17:21 · 3478 阅读 · 0 评论 -
XSS攻击
目录1 什么是XSS攻击?2 解决思路3 实现代码3.1 springBoot项目(推荐)3.1.1 yml配置文件中设置xss参数3.1.2 自定义XssHttpServletRequestWrapper3.1.3 自定义XssFilter过滤器3.1.4 自定义FilterConfig配置类3.1.5 引用类3.1.6 参考开源项目3.2 springMvc项目3.2.1 自定义XssHttpServletRequestWrapper3.2.2 自..原创 2020-12-21 14:03:15 · 738 阅读 · 1 评论 -
用户密码明文传输
1.解决思路采用RSA非对称加密,页面js公钥加密,后台私钥解密。2.实现代码参考:https://www.cnblogs.com/nanyangke-cjz/p/5898361.html原创 2020-12-21 13:46:40 · 2127 阅读 · 0 评论 -
Web服务器未配置X帧选项标头(X-Frame-Options)
目录1.X-Frame-Options是什么?2.代码设置3.参考网址1.X-Frame-Options是什么?X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在 <frame>, </iframe> 或者 <object> 中展现的标记。网站可以使用此功能,来确保自己网站的内容没有被嵌套到别人的网站中去,也从而避免了点击劫持 (clickjacking) 的攻击。X-Frame-Options三个参数:1、D原创 2020-12-21 11:24:07 · 1670 阅读 · 0 评论 -
Cookie未设置只读标记
目录1.为什么设置httponly2.怎么设置cookie httpOnly1.为什么设置httponly如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有X原创 2020-12-21 10:54:31 · 1614 阅读 · 0 评论