随笔分类 - 安全漏洞
专门修复项目中出现的安全漏洞问题
摘要:1.跨站点脚本编制 这个安全漏洞拿cookie做文章,而且是将前端的一些弹窗方法,要么通过脚本注入,要么通过url.encode之后注入,看几个变异的版本: 版本一: 之前是将一个alert注入,现在这个软件知道了,只过滤一次,那我就拆成两个,你过滤一个,合起来还是alert。好贱啊这软件 解决处理
阅读全文
摘要:在做项目的时候,经常会把应用服务部署在内网,内网通过DMZ区,再去访问外网,期间有的第三方服务,比如邮箱或者短信等服务器部署在外网,内网要访问的到,这个时候就要开通网络,那怎么进行网络是否已经开通的判断呢? 主要有以下几种方式: 一、首先判断,ip是否通。 如果能通会出现以下的结果: linux环境
阅读全文
摘要:近日项目碰到一个跨脚本注入的问题: 这安全测评工具也是厉害了,直接将脚本注入到cookie里头,以前没有碰到这样的情况。 之前写过一篇文章过滤跨脚本注入的问题。《浅谈XSS攻击原理与解决方法》关于跨脚本注入的问题,不晓得原理的同学可以看下。但是里头没有处理cookie注入的问题。接下来介绍下如何处理
阅读全文
摘要:最近在做项目的时候,遇到一个安全漏洞的问题 解决办法是 好吧,就给你升吧,升完之后,我的天啊,尽量jquery从2.x开始以后就不支持IE8了,我的天,公司做的项目面向政府企业,使用的均是IE8.优秀啊 查了,好久,jquery还算仁慈,在3.x留了一个高版本的兼容IE8的jquery,很难找啊。
阅读全文
摘要:在一些安全漏洞扫描中,经常会扫描发现,使用weblogic管理控制台,会有个中危的漏洞。 Weblogic管理页面直接访问 我们来看下为啥会出现这样的漏洞。审查下页面元素,发现表单输入项自动开启填充记住功能。 如下图所示 这样的后果是:攻击者可能试图尝试每个可能的字母,数字和符号组合,或使用一些暴力
阅读全文
摘要:本文记录了通过AppScan 8.0.3工具进行扫描的安全漏洞问题以及解决方案, 1、使用SQL注入的认证旁路 问题描述: 解决方案: 一般通过XSSFIlter过滤器进行过滤处理即可,通过XSSFIIter过滤一些关键字符。可以参考博文 2、已解密的登录请求 一般通过配置weblogic的ssl进
阅读全文
摘要:一 .可以开启自带的SSL连接 启动weblogic,进入左侧菜单,点击左侧的安全领域-->点击myrealm-->点击角色和策略-->点击服务器AdminServer 点击保存,weblogic12的版本,不需要重启服务器,weblogic12以下的要重启服务器。重启后即可以生效。 注意一下,配置
阅读全文
摘要:概述 XSS攻击是Web攻击中最常见的攻击方法之一,它是通过对网页注入可执行代码且成功地被浏览器 执行,达到攻击的目的,形成了一次有效XSS攻击,一旦攻击成功,它可以获取用户的联系人列表,然后向联系人发送虚假诈骗信息,可以删除用户的日志等等,有时候还和其他攻击方式同时实 施比如SQL注入攻击服务器和
阅读全文
摘要:CSRF是什么? (Cross Site Request Forgery, 跨站域请求伪造)是一种网络的攻击方式,它在 2007 年曾被列为互联网 20 大安全隐患之一,也被称为“One Click Attack”或者Session Riding,通常缩写为CSRF或者XSRF,是一种对网站的恶意利
阅读全文
浙公网安备 33010602011771号