安全漏洞
主要归档日常遇到的安全漏洞问题处理
-XWB-
一个做了好多年的运维开发,博客会慢慢的把我遇到的常见问题进行梳理发表出来。
展开
-
【安全漏洞-WEB类】会话标识未更新
会话标识未更新漏洞,在用户进入登录页面,但还未登录时,就已经产生了一个session,用户输入信息,登录以后,session的id不会改变,也就是说没有建立新session,原来的session也没有被销毁), 可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。注意:这段代码需要在页面的最后部分加上才可以,否则将报错,或者可以加入到登录验证成功的代码后面。原创 2024-03-29 12:21:58 · 419 阅读 · 1 评论 -
安全漏洞处理-跨站点伪造
原因。原创 2023-11-22 22:08:58 · 44 阅读 · 0 评论 -
【安全漏洞】安全漏洞处理--跨站点脚本编制
这里并没有写的很完全,如果你的系统中加了这段代码,还是出现问题,那么你就要去看看源文件了,看存在哪些特殊的字符,在这段代码中进行补充就可以了;注意:1、404.jsp页面或者其他页面的输出错误路径语句,也会检测到跨站点脚本编制错误,要把输出路径语句删除或者屏蔽。通过修改原始请求参数,可获取正常的响应结果,并且可以在响应的内容中获取到修改原始参数添加的那部分脚本。对修改原始请求参数添加的脚本进行过滤,找到关键词后对关键词进行替换或者直接报错跳转到异常页面。响应的内容中获取到修改原始参数添加的那部分脚本。原创 2023-11-21 17:57:01 · 228 阅读 · 1 评论 -
【安全漏洞】错误信息泄露400
在tomcat的server.xml中的标签里加入,隐藏错误信息。统一报错页面,避免将报错信息展示给用户。原创 2023-11-17 11:04:38 · 167 阅读 · 1 评论