摘要:
Abstract: 在 remoting-servlet.xml 文件的第 11 行,应用程序会以远程服务的形式暴露 spring bean。默认情况下,这些远程服务不要求身份验证,也不要求进出该服务器的信息必须是明文形式。这就使攻击者有机会访问需要特定权限的操作或者获取敏感数据。 Explanat 阅读全文
posted @ 2019-11-15 17:40
陈咬金
阅读(1468)
评论(0)
推荐(0)
摘要:
Abstract: Hardcoded 加密密钥可能会削弱系统安全性,一旦出现安全问题将无法轻易修正。 Explanation: 请勿对加密密钥进行硬编码,因为这样所有项目开发人员都能查看该加密密钥,而且还会大大增加解决问题的难度。一旦代码被使用,除非对软件进行修补,否则加密密钥将再也不能更改。如果 阅读全文
posted @ 2019-11-15 17:39
陈咬金
阅读(8701)
评论(0)
推荐(0)
摘要:
Abstract: Channel.java 中的类既是数据库持久实体,又是动态绑定请求对象。如果允许使用请求参数自动填充数据库持久实体,攻击者将能够在关联实体中创建计划外的数据库记录,或者更新实体对象中的计划外字段。 Explanation: 持久对象通常绑定到底层数据库,并由持久性框架(如 Hi 阅读全文
posted @ 2019-11-15 17:39
陈咬金
阅读(1614)
评论(1)
推荐(0)
摘要:
Abstract: 在运行时对用户控制的对象流进行反序列化,会让攻击者有机会在服务器上执行任意代码、滥用应用程序逻辑和/或导致 Denial of Service。 Explanation: Java 序列化会将对象图转换为字节流(包含对象本身和必要的元数据),以便通过字节流进行重构。开发人员可以创 阅读全文
posted @ 2019-11-15 17:38
陈咬金
阅读(5250)
评论(0)
推荐(0)
摘要:
Abstract: ext-all-debug.js 文件将未验证的用户输入解析为第 11304 行的源代码。在运行时中解析用户控制的指令,会让攻击者有机会执行恶意代码。 Explanation: 许多现代编程语言都允许动态解析源代码指令。这使得程序员可以执行基于用户输入的动态指令。当程序员错误地认 阅读全文
posted @ 2019-11-15 17:36
陈咬金
阅读(2738)
评论(0)
推荐(0)
摘要:
Abstract: article_attrs.jsp 中的方法 _jspService() 向第 79 行的 Web 浏览器发送非法数据,从而导致浏览器执行恶意代码。 Explanation: Cross-Site Scripting (XSS) 漏洞在以下情况下发生: 1. 数据通过一个不可信赖 阅读全文
posted @ 2019-11-15 17:35
陈咬金
阅读(4571)
评论(3)
推荐(0)
摘要:
Abstract: article_property.jsp 中的方法 _jspService() 向第 151 行的 Web 浏览器发送非法数据,从而导致浏览器执行恶意代码。 Explanation: Cross-Site Scripting (XSS) 漏洞在以下情况下发生: 1. 数据通过一个 阅读全文
posted @ 2019-11-15 17:29
陈咬金
阅读(3279)
评论(0)
推荐(0)
摘要:
Abstract: jsmind.js 中的方法 onreadystatechange() 向第 781 行的 Web 浏览器发送非法数据,从而导致浏览器执行恶意代码。 Explanation: Cross-Site Scripting (XSS) 漏洞在以下情况下发生: 1. 数据通过一个不可信赖 阅读全文
posted @ 2019-11-15 16:50
陈咬金
阅读(4064)
评论(0)
推荐(0)
浙公网安备 33010602011771号