Web安全
文章平均质量分 92
洛枫偃月
骑自行车也能上月球! /r/n
You can go to the moon by bike!
展开
-
Tomcat AJP 文件包含漏洞(CVE-2020-1938) 修复方案 (含Apache2 ajp 负载如何修复)
### 漏洞原理:Tomcat 配置了两个 Connecto,它们分别是 HTTP 和 AJP :HTTP 默认端口为 8080,处理 http 请求,而 AJP 默认端口 8009,用于处理 AJP 协议的请求,而 AJP 比 http 更加优化,多用于反向、集群等,漏洞由于 Tomcat AJP 协议存在缺陷而导致,攻击者利用该漏洞可通过构造特定参数,读取服务器 webapp 下的任意文件...原创 2020-02-25 23:55:58 · 14816 阅读 · 14 评论 -
Nginx集成GeoIP2模块实现地区识别与屏蔽
前文:最近在研究nginx如何集成geo模块来实现IP自动识别从而进行地区屏蔽的内容。但是度娘N篇文章,发现大家都在转载很久之前的东西。geo1.0官方都不提供下载了,不知道那些小伙伴是怎么实现模块按照和IP库下载的。这个就不互相伤害了,如何集成最新版的geoip2直接继续浏览即可。1.nginx下载最新版 过程略。2.下载依赖软件2.1geoip2核心识别库 ...原创 2019-05-25 21:26:06 · 7023 阅读 · 1 评论 -
URL存在http host头攻击漏洞-修复方案
【使用Nginx的修复方案】if ( $host !~* " 10.4.15.1| 10.9.4.9 " ) { return 403;} 【基于tocmat的修复方案】经测试,最低支持Tomcat6.0.x以上版本的修复。修复方式打开tomcat的conf目录中的server.xml文件,将Host节点做如下配置:<Host name="www....原创 2018-02-01 18:52:24 · 41250 阅读 · 13 评论 -
nginx与https证书集成
#user nobody;worker_processes 8;#error_log logs/error.log;#error_log logs/error.log notice;#error_log logs/error.log info;#pid logs/nginx.pid;worker_rlimit_nofile 30000;events原创 2016-11-24 15:54:55 · 507 阅读 · 0 评论 -
StartSSL证书申请与使用
1、登陆官网https://startssl.com/找到下面的图,选择免费的,点击start now未注册的选择然后注册账号注册完成可以下载登陆证书:你的邮箱.p12,下载完成后双击导入。注册过的选择然后选择你的个人登陆证书即可,登陆后可以看到下面的页面完成域名校验后即可下载自己的证书。注意,认证过的域名,可以填写自己的原创 2016-10-13 14:06:01 · 812 阅读 · 0 评论 -
Nginx访问日志分析命令
1、查找指定URL的访问频率cat /app/nginx/logs/access.log |grep /tykf-itr-services/services/login/thirdParty|awk '{print $1}' | sort -nr | uniq -c | sort -n次数 IP27 124.152.8.234原创 2016-11-09 09:21:45 · 483 阅读 · 0 评论 -
绿盟扫描报告信息提取
1、下载第三方扩展库 filterbuilder.jar htmllexer.jar htmlparser.jar jsoup-1.9.2.jar junit.jar sax2.jar thumbelina.jar2、执行以下方法package com.zgs.look;import java.io.BufferedReader;import原创 2016-07-01 15:57:09 · 3359 阅读 · 0 评论 -
使用自定义Session监听器实现自定义Session管理
在学习新知识的过程中,偶然间搜到Session居然也是可以实现自定义监听的。那么监听到了Session各种状态,我们能来做些什么呢?哈哈,想必聪明的你早就想到一二三了。实现Session自定义监听后,我们可以实现的事情:1、监控用户的上下线操作,即使在他关闭浏览器退出的时候,也是可以的哟,哈哈2、实现Session登记后,可以完成单用户单点登录3、当某些账号出现异常操作后,我们可以原创 2015-09-19 21:58:33 · 3097 阅读 · 0 评论 -
SpringMVC全局文件上传类型限制【终极解决方案】
各位小伙伴们,有没有遇到这种情况,在信息安全日益受到各方重视的当下,白帽子越来越多,相应的作为开发人员的安全意识也得与日俱增。但是呢,总会有各种各种的原因,会出现全局性系统性的问题,你无法解决,或者无从下手。怎么办?没办法,只有回归本质。今天分享一个SpringMVC全局文件上传类型限制终极解决方案,为那些还在迷茫该如何处理全局性文件上传漏洞的小伙伴送来一份小礼物。在阅读我的代码之前,请看下面原创 2015-05-22 15:30:59 · 13945 阅读 · 3 评论 -
SpringMVC XSS之HttpServletRequestWrapper使用风险与应对方案
问题描述:一看到XSS【URL跨站请求】或者SQL注入,大家立马都会上网去搜索对应的解决方法,但是搜索到的几乎都是千篇一律的答案。那就是写一个自定义的RequestWrapper并继承与HttpServletRequestWrapper,然后重构里面的getParameter……等相关方法。在重构的方法中加上我们的自定义过滤函数。但是在实践的过程中,偶然发现一个问题。当我们的表单数据包原创 2015-09-01 17:17:23 · 5867 阅读 · 2 评论 -
文件上传漏洞
关键是文件上传之后服务器端的处理、解释文件的过程是否安全。一般的情况有:-1. 上传文件WEB脚本语言,服务器的WEB容器解释并执行了用户上传的脚本,导致代码执行;-2. 上传文件FLASH策略文件crossdomain.xml,以此来控制Flash在该域下的行为;-3. 上传文件是病毒、木马文件,攻击者用以诱骗用户或管理员下载执行;-4. 上传文件是钓鱼图片或为包含了脚本的图片,原创 2015-05-12 12:27:53 · 612 阅读 · 0 评论