freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

常見web安全漏洞及整改建議(編輯修改稿)

2024-07-24 15:03 本頁面
 

【文章內(nèi)容簡介】 0。 byte[] digest=()。 Password=byte2hex(digest)。6. 錯誤的頁面信息 問題描述: 錯誤/警告消息,可能會泄露敏感信息。 整改建議: 在編碼階段開發(fā)者對敏感頁面缺乏授權保護,導致相關URL頁面敏感信息泄露。建議修改錯誤信息。 一切敏感或需要權限方可瀏覽的頁面,包括:敏感信息中轉處理頁面、上傳頁面、管理平臺頁面、用戶自管理頁面等。 案例: 風險范例: /*風險范例為一切需要敏感但編碼階段沒有進行授權鑒別的頁面*/ 加固范例: if(((UserName)==null)||((UserClass)==null)||(!(UserClass).equals(系統(tǒng)管理員))) { (?id=14)。 return。 }7. 已解密的登陸請求 問題描述: 用戶名、密碼輸入字段未經(jīng)加密即進行了傳遞。 整改建議: 確保所有登錄請求都以加密方式發(fā)送到服務器。 案例: 方法一:配置SSL加密傳輸 【概念理解】keystore 是一個密碼保護的文件,用來存儲密鑰和證書 (1)生成一個keystore文件(包含證書),文件位置/usr/local/tomcat/conf/.keystore cd /usr/local/jdk/bin/ ./keytool genkey aliastomcatkeyalg RSA keystore/usr/local/tomcat/conf/.keystore 輸入密碼、提供你的信息即可。如果不是用來“玩”的話,請如實的填寫自己以及單位的信息吧。 【注意】它會在前后問你兩次密碼,第二次直接回車就行了,如果兩個密碼不一樣。詳情請見:[url][/url] (2)修改tomcat/conf/ 啟用這一段: = p= maxThreads=150 scheme= secure=true clientAuth=falsesslProtocol=TLS / 并修改為: = p= maxThreads=150 scheme= secure=true keystoreFile=/usr/local/tomcat/conf/.keystore keystorePass=snailwarrior clientAuth=false sslProtocol=TLS / (3)重啟Tomcat /usr/local/tomcat/bin/ /usr/local/tomcat/bin/ (4)防火墻開啟8443端口 瀏覽器輸入:[url]:8443/[/url] 方法二:把text=password這個用其他的代替,就可以解決已解密的登錄請求,僅共參考 密碼:= p= style=padding: 0px。 margin: 0px。 fontsize: 12px。 fontfamily: 宋體。 width: 146px。 height: 18px。 nkeypress=javascript:hiddenPass(event)onkeyup==(/./g,39。*39。)。/ js代碼 functionhiddenPass(e){ e = e ? e : 。 var kcode = ? : 。 var pass =(password1)。 var j_pass = (password)。 if(kcode!=8) { var keychar=(kcode)。 =+keychar。 =(0,)。 } } 獲取密碼:(password).value。8. HTTP拒絕服務 問題描述 HTTP存在DOS漏洞。 如果遠程攻擊者使用發(fā)包工具向Apache服務器發(fā)送了不完整的HTTP請求,服務器會打開連接等待接受完整的頭,但如果發(fā)包工具不再繼續(xù)發(fā)送完整請求而是發(fā)送無效頭的話,就會一直保持打開的連接。這種攻擊所造成的影響很嚴重,因為攻擊者不需要發(fā)送很大的通訊就可以耗盡服務器上的可用連接。也就是說,即使低帶寬的用戶也可以攻擊大流量的服務器。 整改方法 臨時解決方法: 更改默認的TimeOut選項少于7000ms,或使用mod_limitipconn模塊限制單個IP地址的連接數(shù)。 廠商補丁: Apache Group 目前廠商還沒有提供補丁或者升級程序,我們建議使用此軟件的用戶隨時關注廠商的主頁以獲取最新版本: 案例 關于HTTP版本低漏洞信息,如下: 1).漏洞的描述 2).TOMCAT官網(wǎng)說這個不是一個漏洞,沒有打算出補丁,只有緩解方法 詳細可以看, 查找 CVE20125568 會看到官網(wǎng)說明。 緩解方法 ,配置一個合適的超時時間。 3).但CVE 的漏洞還是所有版本也存在。下面是一個CVE的詳細信息地址,此頁面最后更新為20130307。 4).公開的漏洞測試代碼 9. 跨站點請求偽造 同“”。10. 應用程序錯誤信息 同“”11. SQL注入 問題描述 受外部影響的輸入來構造SQL 命令的全部或一部分,但是它對可能在所需 SQL 命令發(fā)送到數(shù)據(jù)庫時修改該命令的特殊元素未正確進行無害化處理。如果在用戶可控制的輸入中沒有對 SQL 語法充分地除去或引用,那么生成的 SQL 查詢可能會導致將這些輸入解釋為 SQL 而不是普通用戶數(shù)據(jù)。這可用于修改查詢邏輯以繞過安全性檢查,或者插入其他用于修改后端數(shù)據(jù)庫的語句,并可能包括執(zhí)行系統(tǒng)命令。 整改建議 public static String filterContent(
點擊復制文檔內(nèi)容
外語相關推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1