漏洞修复
关注
分享
扫一扫
乱乱乱乱
这个作者很懒,什么都没留下…
展开
-
工具Acunetix web scanner 扫描的漏洞修复
1、HTML form without CSRF protection解决:添加一个 <input type="hidden" name="session" autocomplete="off" class="layui-input" value="12345"/>其中value的值是从后台传递过来的,提交表单时验证2、User credentials are se原创 2018-12-17 16:47:58 · 4903 阅读 · 0 评论 -
iis 解决http host头攻击漏洞
为了方便的获得网站域名,开发人员一般依赖于HTTP Host header。例如,在php里用_SERVER["HTTP_HOST"]。但是这个header是不可信赖的,如果应用程序没有对host header值进行处理,就有可能造成恶意代码的传入。web应用程序应该使用SERVER_NAME而不是host header。 在Apache和Nginx里可以通过设置一个虚拟机来记录所有的非...原创 2019-04-22 17:21:40 · 10894 阅读 · 0 评论 -
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)
服务器被绿盟软件扫描出存在SSL/TLS漏洞, SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。 安全套接层(Secure Sockets Layer,SSL),一种安全协...原创 2019-04-28 16:16:06 · 33816 阅读 · 2 评论