测试安全
关注
分享
扫一扫
文章平均质量分 92
q908544703
这个作者很懒,什么都没留下…
展开
-
不安全http方法
详情:系统启用了OPTIONS、DELETE、PUT不安全http方法修改tomcat的conf目录下的web.xml原配置文件下载:链接:https://pan.baidu.com/s/16-63SXgsOOdA8ScLXkbpqA提取码:eg87...原创 2019-06-02 06:38:08 · 498 阅读 · 0 评论 -
Tomcat去除版本号和中间件信息
1.如下:中间件版本信息泄漏2. 进入tomcat的lib目录找到catalina.jar文件先备份tomcat的catalina.jar包。此包在tomcat家目录的lib目录下。cp catalina.jar catalina.jar.bak3. unzip catalina.jar之后会多出两个文件夹vim org/apache/catalina/util/ServerInfo...原创 2019-06-02 06:18:48 · 4521 阅读 · 0 评论 -
Tomcat后台地址泄露或者敏感信息泄露
详情:后台地址过于简单地址泄露或者默认后台解决方案:删除tomcat webapp目录下除了项目模块的其它文件原创 2019-06-02 06:44:44 · 5995 阅读 · 0 评论 -
XSS注入日志ip问题
详情:系统存在xss注入问题,容易被利用执行恶意代码问题详情:用如下方法获取ip原创 2019-06-02 07:01:54 · 607 阅读 · 0 评论 -
上传任意文件或者上传漏洞
1.上传任意文件缺陷描述:允许用户上传文件可能会让攻击者注入危险内容或恶意代码,并在服务器上运行。举例如下:2.上传漏洞问题描述:没有对上传文件扩展名进行限制或者限制可以被绕过。整改方案:1.校验文件格式2.通过文件头校验文件格式3.文件大小校验4.文件重命名1.校验文件格式(配置上传白名单)1.通过文件头校验文件格式(通过获取文件头文件类型和配置上传白名单比较)...原创 2019-06-02 07:35:40 · 7758 阅读 · 0 评论 -
未释放资源
缺陷描述程序可能无法成功释放某一项系统资源。举例如下:脆弱性分析大部分此漏洞只会导致一般的软件可靠性问题,但如果攻击者能够故意触发资源泄漏,该攻击者就有可能通过耗尽资源池的方式发起denial of service 攻击。3.解决方案:...原创 2019-06-03 14:54:01 · 542 阅读 · 0 评论