摘要:
中间件是在操作系统功能范围外为应用提供服务的多用途软件。任何位于内核和用户应用之间的软件都可以是中间件。中间件不提供传统应用的功能,而是将软件与其他软件衔接。由于中间件能够让数据从一个应用流动到另一个中,因此把它比作输水管最为贴切。 中间件就是程序中可织入的,可重用的,与业务逻辑无关的各种组件。 中 阅读全文
摘要:
一个web应用程序,往往是通过http协议进行前后端通信的。而作为一个web工程师,掌握HTTP协议因此也是Web开发必备的一项技能了,尤其是在工作了一定年限之后,更是深感该知识点的重要性。因此,将以前学习的相关知识,在此整理总结,方便日后翻阅复习。 一、什么是HTTP协议? HTTP是hypert 阅读全文
摘要:
问题及原因分析: 之前修复漏洞时,写了个过滤器配置在web.xml中,但是部署到服务器并重启后,重新扫描漏洞,还是没有解决对应问题。在确定了这种修复方案是切实可行之后分析,可能是配置的web.xml未生效,搜索网上对应问题及检查部署过程发现,部署完后应用目录WEB-INF下会新增很多文件,其中有个w 阅读全文
摘要:
path指示java命令的路径,像javac、java、javaw等; classpath是javac编译器的一个环境变量,它的作用与import、package关键字有关,当你写下improt java.util.*时,编译器面对import关键字时,就知道你要引入java.util这个packa 阅读全文
摘要:
近期因为修改漏洞:Appscan扫描漏洞:加密会话(SSL)Cookie中缺少Secure属性,而涉及到Cookie有关的知识,现结合该漏洞的修复过程和了解的cookie知识总结一下。 一、加密会话(SSL)Cookie中缺少Secure属性漏洞概述: 任何以明文形式发送到服务器的 cookie、会 阅读全文
摘要:
会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。 本章将系统地讲述Cookie与Session机制,并比较说明什么时候不能用C 阅读全文
摘要:
近期 Appscan扫描出漏洞 加密会话(SSL)Cookie 中缺少 Secure 属性,已做修复,现进行总结如下: 1.1、攻击原理 任何以明文形式发送到服务器的 cookie、会话令牌或用户凭证之类的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装,此外,若干隐私法规指出,用户凭证之类的敏感信 阅读全文
摘要:
除了Fortify和Appscan之外,公司还有使用Burp Suit工具对项目代码进行安全测试,例如会对项目进行 暴力破解登录密码(登录批量发包),而项目中确实存在该漏洞,现已修复,在这里做总结如下: 1.1、攻击原理 正常登录请求验证通过,可以利用BurpSuit测试工具拦截该登录请求(即抓取了 阅读全文
摘要:
本次针对 Appscan漏洞 已解密的登录请求 进行总结,如下: 1.1、攻击原理 未加密的敏感信息(如登录凭证,用户名、密码、电子邮件地址、社会安全号等)发送到服务器时,任何以明文传给服务器的信息都可能被窃,攻击者可利用此信息发起进一步攻击,同时这也是若干隐私权法规(如Sarbanes-Oxley 阅读全文
摘要:
本次针对 Appscan漏洞 会话标识未更新 进行总结,如下: 1. 会话标识未更新 1.1、攻击原理 在认证用户或者以其他方式建立新用户会话时,如果不使任何现有会话标识失效,攻击者就有机会窃取已认证的会话,此漏洞可结合XSS获取用户会话对系统发起登录过程攻击。 1.2、APPSCAN测试过程 Ap 阅读全文