freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

常見(jiàn)web安全漏洞及整改建議-在線瀏覽

2024-08-07 15:03本頁(yè)面
  

【正文】 oken() { //這是貪方便,實(shí)際上單使用Rand()得出的隨機(jī)數(shù)作為令牌,也是不安全的。 return $token。 if($_SESSION[STOKEN_NAME] == $pToken){ //沒(méi)有值,賦新值 $_SESSION[STOKEN_NAME] = gen_token()。 echo “= p= style=padding: 0px。 fontsize: 12px。 value=\”” . $_SESSION[STOKEN_NAME] . “\” “。 include(””)。 5).服務(wù)端核對(duì)令牌:2. jQuery 跨站腳本漏洞 問(wèn)題描述 jQuery是繼prototype之后又一個(gè)優(yōu)秀的Javascrīpt框架。 通過(guò)特制的標(biāo)簽,遠(yuǎn)程攻擊者利用該漏洞注入任意web腳本或HTML。 3. 跨站腳本編制 問(wèn)題描述: 跨站腳本攻擊是通過(guò)在網(wǎng)頁(yè)中加入惡意代碼,當(dāng)訪問(wèn)者瀏覽網(wǎng)頁(yè)時(shí)惡意代碼會(huì)被執(zhí)行或者通過(guò)給管理員發(fā)信息的方式誘使管理員瀏覽,從而獲得管理員權(quán)限,控制整個(gè)網(wǎng)站。 風(fēng)險(xiǎn)范圍: 任何存在輸入/輸出方法(包括GET與POST)的頁(yè)面皆可能存在惡意符號(hào)輸入缺陷,主要影響應(yīng)用包括留言板、在線通訊信息、文章發(fā)布頁(yè)面等。 int類型的只允許09的整型數(shù)字;string等字符類型的只允許(19,az,AZ)的英文字母; 當(dāng)客戶端輸入限定值意外的字符后,立即轉(zhuǎn)向自定義的錯(cuò)誤頁(yè),而不能使用服務(wù)器默認(rèn)的錯(cuò)誤輸出方式; 對(duì)穿入?yún)?shù)進(jìn)行危險(xiǎn)字符過(guò)濾,禁止(39。、()、。 案例: ]替換為如下內(nèi)容:*/ String u = (u)。 <39。_39。 u = (39。,39。)。 39。_39。 u = (39。39。_39。 u = (39。,39。)。 39。_39。 u = (39。,39。)。 )39。_39。 u = (39。39。_39。 u = (39。,39。)。 加固范例(二): /*更積極的方式是利用正則表達(dá)式只允許輸入指定的字符:*/ /*在[String u = (u)。 else return false。 : 對(duì)輸入?yún)?shù)進(jìn)行做處理,建議過(guò)濾出所有以下字符: [1] |(豎線符號(hào)) [2] amp。 符號(hào)) [3]。 (單引號(hào)) [8] (引號(hào)) [9] \39。 ]替換為如下內(nèi)容:*/ String u =(u)。 <39。_39。 u = (39。,39。)。 39。_39。 u = (39。39。_39。 u = (39。,39。)。 39。_39。 u = (39。,39。)。 )39。_39。 u = (39。39。_39。 u = (39。,39。)。 加固范例(二): /*更積極的方式是利用正則表達(dá)式只允許輸入指定的字符:*/ /*在[String u = (u)。 else return false。 整改建議 加密密碼或不在頁(yè)面及源碼上顯示密碼。 sql=insert into user(username,password) values ( + Username + , + Password +)。 (sql)。 Stringstmp=。 n。 0XFF))。 elsehs=hs+stmp。 /p } ()。 (())。 Password=byte2hex(digest)。 整改建議: 在編碼階段開(kāi)發(fā)者對(duì)敏感頁(yè)面缺乏授權(quán)保護(hù),導(dǎo)致相關(guān)URL頁(yè)面敏感信息泄露。 一切敏感或需要權(quán)限方可瀏覽的頁(yè)面,包括:敏感信息中轉(zhuǎn)處理頁(yè)面、上傳頁(yè)面、管理平臺(tái)頁(yè)面、用戶自管理頁(yè)面等。 風(fēng)險(xiǎn)范例: /*風(fēng)險(xiǎn)范例為一切需要敏感但編碼階段沒(méi)有進(jìn)行授權(quán)鑒別的頁(yè)面*/ return。 整改建議: 確保所有登錄請(qǐng)求都以加密方式發(fā)送到服務(wù)器。 方法一:配置SSL加密傳輸 【概念理解】keystore 是一個(gè)密碼保護(hù)的文件,用來(lái)存儲(chǔ)密鑰和證書(shū) (1)生成一個(gè)keystore文件(包含證書(shū)),文件位置/usr/local/tomcat/conf/.keystore cd /usr/local/jdk/bin/ ./keytool genkey aliaskeyalg RSA keystore/usr/local/tomcat/conf/.keystore 輸入密碼、提供你的信息即可。 【注意】它會(huì)在前后問(wèn)你兩次密碼,第二次直接回車就行了,如果兩個(gè)密碼不一樣。 方法二:把text=password這個(gè)用其他的代替,就可以解決已解密的登錄請(qǐng)求,僅共參考 margin: 0px。 fontfamily: 宋體。 height: 18px。 *39。/ js代碼 functionhiddenPass(e){ e = e ? e : 。 var pass =(password1)。 if(kcode!=8) { var keychar=(kcode)。 =(0,)。 8. HTTP拒絕服務(wù) 問(wèn)題描述 HTTP存在DOS漏洞。 這種攻擊所造成的影響很嚴(yán)重,因?yàn)楣粽卟恍枰l(fā)送很大的通訊就可以耗盡服務(wù)器上的可用連接。 整改方法 配置一個(gè)合適的超時(shí)時(shí)間。 下面是一個(gè)CVE的詳細(xì)信息地址,此頁(yè)面最后更新為20130307。 10. 應(yīng)用程序錯(cuò)誤信息 同“”11. SQL注入 問(wèn)題描述 受外部影響的輸入來(lái)構(gòu)造SQL 命令的全部或一部分,但是它對(duì)可能在所需 SQL 命令發(fā)送
點(diǎn)擊復(fù)制文檔內(nèi)容
外語(yǔ)相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1