了解—学习—进步—满足

header("HTTP/1.1 404 Not Found"); header("Status: 404 Not Found");

1、全局下使用404跳转在httpd.conf下配置跳转vim /usr/local/httpd/conf/httpd.conf<Directory "/usr/local/httpd-2.4.25/htdocs"> AllowOverride None Require all granted ErrorDocument 404 /aa.jpg ...

由于我做的是登录,也就是用户登录每次登陆时都要来访问服务器，不需要在客户机做缓存，于是在网上找了找，发下一下文章不错于是传了上来。 网页的缓存是由HTTP消息头中的“Cache-control”来控制的，常见的取值有private、no-cache、max-age、must-revalidate等，默认为private。其作用根据不同的重新浏览方式分为以下几种情况：（1...

一. 不安全的第三方链接：漏洞简介：在新打开的页面中可以通过 window.opener获取到源页面的部分控制权，即使新打开的页面是跨域的也照样可以修复建议：在a标签中加入rel="noopener noreferrer"属性处理方式：二. 纵向越权：漏洞简介：对需要认证的web应用程序，直接使用不登陆鉴权的方式进行探测，检查是否能够正常访问,可能会升级用户特...

漏洞简介：Cookie HttpOnly检测修复建议：1.检测 HTTP Set-Cookie 字段（Http协议的情况下），每一条字段值包含 HttpOnly。处理方式：开启Cookie的HttpOnly。Apache的处理方式为在php.ini文件中，把 session.cookie_httponly 设为 true。具体如下：session.cookie_htt...

漏洞简介：诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递,可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息。修复建议：确保敏感信息，一律以加密方式传给服务器。处理方式：在前端把敏感信息加密后传给服务器。具体是用MD5或者SHA1在线加密敏感信息，然后再传递给服务器。在服务端，可以再二次加密后再进行使用（如登录信息的匹配等）。1. MD5加密：...

漏洞简介：在公共电脑上面，攻击者可以通过记住密码功能，免输入密码来实现登录用户的账号的目的，从而窃取用户的信息。修复建议：显式设置输入框的属性autocomplete="off"处理方式：1.设置输入框的属性autocomplete="off"；2. 对应浏览器 浏览器只会记住第一个用户名input的值和最后一个密码input 的值，并且这些input不能用display...

漏洞简介：攻击者可以使用OPTIONS和Trace方法来枚举服务器相关信息。修复建议：1.在服务器配置中禁止非常用的HTTP方法2.代码中只支持常见HTTP方法。处理方式：禁止 Trace|Track|OPTIONS等方法。作者做了几个地方的修改，现在一个一个列出来：1. 修改.htaccess文件在文件中添加代码如下：<IfModule mo...

漏洞简介：可能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置。修复建议：1. 响应头中存在 X-Content-Type-Options 属性，而且 X-Content-Type-Options 属性值包含“nosniff”。2. 检测 HTTP X-Frame-Options 字段，字段值包含 deny 或 sameorigin。3.配置...