freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

常見(jiàn)web安全漏洞及整改建議(編輯修改稿)

2024-07-24 15:03 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 0。 byte[] digest=()。 Password=byte2hex(digest)。6. 錯(cuò)誤的頁(yè)面信息 問(wèn)題描述: 錯(cuò)誤/警告消息,可能會(huì)泄露敏感信息。 整改建議: 在編碼階段開發(fā)者對(duì)敏感頁(yè)面缺乏授權(quán)保護(hù),導(dǎo)致相關(guān)URL頁(yè)面敏感信息泄露。建議修改錯(cuò)誤信息。 一切敏感或需要權(quán)限方可瀏覽的頁(yè)面,包括:敏感信息中轉(zhuǎn)處理頁(yè)面、上傳頁(yè)面、管理平臺(tái)頁(yè)面、用戶自管理頁(yè)面等。 案例: 風(fēng)險(xiǎn)范例: /*風(fēng)險(xiǎn)范例為一切需要敏感但編碼階段沒(méi)有進(jìn)行授權(quán)鑒別的頁(yè)面*/ 加固范例: if(((UserName)==null)||((UserClass)==null)||(!(UserClass).equals(系統(tǒng)管理員))) { (?id=14)。 return。 }7. 已解密的登陸請(qǐng)求 問(wèn)題描述: 用戶名、密碼輸入字段未經(jīng)加密即進(jìn)行了傳遞。 整改建議: 確保所有登錄請(qǐng)求都以加密方式發(fā)送到服務(wù)器。 案例: 方法一:配置SSL加密傳輸 【概念理解】keystore 是一個(gè)密碼保護(hù)的文件,用來(lái)存儲(chǔ)密鑰和證書 (1)生成一個(gè)keystore文件(包含證書),文件位置/usr/local/tomcat/conf/.keystore cd /usr/local/jdk/bin/ ./keytool genkey aliastomcatkeyalg RSA keystore/usr/local/tomcat/conf/.keystore 輸入密碼、提供你的信息即可。如果不是用來(lái)“玩”的話,請(qǐng)如實(shí)的填寫自己以及單位的信息吧。 【注意】它會(huì)在前后問(wèn)你兩次密碼,第二次直接回車就行了,如果兩個(gè)密碼不一樣。詳情請(qǐng)見(jiàn):[url][/url] (2)修改tomcat/conf/ 啟用這一段: = p= maxThreads=150 scheme= secure=true clientAuth=falsesslProtocol=TLS / 并修改為: = p= maxThreads=150 scheme= secure=true keystoreFile=/usr/local/tomcat/conf/.keystore keystorePass=snailwarrior clientAuth=false sslProtocol=TLS / (3)重啟Tomcat /usr/local/tomcat/bin/ /usr/local/tomcat/bin/ (4)防火墻開啟8443端口 瀏覽器輸入:[url]:8443/[/url] 方法二:把text=password這個(gè)用其他的代替,就可以解決已解密的登錄請(qǐng)求,僅共參考 密碼:= p= style=padding: 0px。 margin: 0px。 fontsize: 12px。 fontfamily: 宋體。 width: 146px。 height: 18px。 nkeypress=javascript:hiddenPass(event)onkeyup==(/./g,39。*39。)。/ js代碼 functionhiddenPass(e){ e = e ? e : 。 var kcode = ? : 。 var pass =(password1)。 var j_pass = (password)。 if(kcode!=8) { var keychar=(kcode)。 =+keychar。 =(0,)。 } } 獲取密碼:(password).value。8. HTTP拒絕服務(wù) 問(wèn)題描述 HTTP存在DOS漏洞。 如果遠(yuǎn)程攻擊者使用發(fā)包工具向Apache服務(wù)器發(fā)送了不完整的HTTP請(qǐng)求,服務(wù)器會(huì)打開連接等待接受完整的頭,但如果發(fā)包工具不再繼續(xù)發(fā)送完整請(qǐng)求而是發(fā)送無(wú)效頭的話,就會(huì)一直保持打開的連接。這種攻擊所造成的影響很嚴(yán)重,因?yàn)楣粽卟恍枰l(fā)送很大的通訊就可以耗盡服務(wù)器上的可用連接。也就是說(shuō),即使低帶寬的用戶也可以攻擊大流量的服務(wù)器。 整改方法 臨時(shí)解決方法: 更改默認(rèn)的TimeOut選項(xiàng)少于7000ms,或使用mod_limitipconn模塊限制單個(gè)IP地址的連接數(shù)。 廠商補(bǔ)?。? Apache Group 目前廠商還沒(méi)有提供補(bǔ)丁或者升級(jí)程序,我們建議使用此軟件的用戶隨時(shí)關(guān)注廠商的主頁(yè)以獲取最新版本: 案例 關(guān)于HTTP版本低漏洞信息,如下: 1).漏洞的描述 2).TOMCAT官網(wǎng)說(shuō)這個(gè)不是一個(gè)漏洞,沒(méi)有打算出補(bǔ)丁,只有緩解方法 詳細(xì)可以看, 查找 CVE20125568 會(huì)看到官網(wǎng)說(shuō)明。 緩解方法 ,配置一個(gè)合適的超時(shí)時(shí)間。 3).但CVE 的漏洞還是所有版本也存在。下面是一個(gè)CVE的詳細(xì)信息地址,此頁(yè)面最后更新為20130307。 4).公開的漏洞測(cè)試代碼 9. 跨站點(diǎn)請(qǐng)求偽造 同“”。10. 應(yīng)用程序錯(cuò)誤信息 同“”11. SQL注入 問(wèn)題描述 受外部影響的輸入來(lái)構(gòu)造SQL 命令的全部或一部分,但是它對(duì)可能在所需 SQL 命令發(fā)送到數(shù)據(jù)庫(kù)時(shí)修改該命令的特殊元素未正確進(jìn)行無(wú)害化處理。如果在用戶可控制的輸入中沒(méi)有對(duì) SQL 語(yǔ)法充分地除去或引用,那么生成的 SQL 查詢可能會(huì)導(dǎo)致將這些輸入解釋為 SQL 而不是普通用戶數(shù)據(jù)。這可用于修改查詢邏輯以繞過(guò)安全性檢查,或者插入其他用于修改后端數(shù)據(jù)庫(kù)的語(yǔ)句,并可能包括執(zhí)行系統(tǒng)命令。 整改建議 public static String filterContent(
點(diǎn)擊復(fù)制文檔內(nèi)容
外語(yǔ)相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1