摘要:
调试代码可以在部署的web应用程序中建立一些意想不到的入口点,如:main()方法,在系统上线后,可视为应用程序的后门入口。 修复建议: 务必在部署应用程序的产品版之前删除调试代码。无论是否存在直接安全威胁,一旦早期开发阶段结束,就没有任何理由将这样的代码保留在应用程序中。 需要理解 原因: Jav 阅读全文
摘要:
低危 系统中存在大量JSP页面当中注释采用HTML注释,而不是JSP注释的情况。 此情况下,攻击者在浏览器浏览页面的时候,右键查看页面源代码,可以看到HTML注释内的信息,很多时候甚至是代码块,导致系统信息泄露。 Jsp html 注释区别: (1)HTML页面注释 这里面的注释会被编译(加载页面时 阅读全文
摘要:
先通过iis7网站监控,输入自己的域名,就可以立马看到自己是不是遭遇JS劫持了,并且查询结果都是实时的,可以利用查询结果来更好的优化我们的网站。 以下情况,应用程序很容易受到js劫持的攻击: (1)讲js对象用作数据传输格式 (2)处理机密数据 概念: 即在一个函数运行之前把它劫持下来,添加我们想要 阅读全文
摘要:
分享一篇详细的感觉特别好的文章 https://www.cnblogs.com/qmfsun/p/5779469.html 理解:跨站 请求 伪造(伪造页面、诱惑点击 然后伪造用户身份进行操作) 攻击者在 用户不知情的情况下,伪造发出一个未经授权的请求,进行攻击,伪造成用户的身份进行操作。 常见页面 阅读全文
摘要:
Spring.xml 配置文件内,配置属性 mail.smtp.auth = true 。 建议: 使用SSL/TLS对通过网络发送的所有数据进行加密, 或者允许将现有的未加密连接升级到 SSL/TLS。 例如: SMTP客户端已正确配置为使用SSL/TLS与SMTP服务器进行通信: session 阅读全文