起止洺的博客

java 解决Host头攻击漏洞在配置文件中配置IP和端口号server: port: 9099 address: 172.16.64.208 配置过滤器,拦截请求package com.sgcc.springboot_host;import org.springframework.beans.factory.annotation.Value;import org.springframework.context.annotation.Configuration;impor

Insecure Randomness 和Use of Cryptographically Weak PRNG 其实是同一种漏洞,Insecure Randomness是由Fortify扫描出来的,Use of Cryptographically Weak PRNG是CheckMarx扫描出来的. 他们其实都是不安全的随机数漏洞.下面是Fortify对漏洞的描述:描述标准的伪随机数值生成器...

checkmarx对Cross Site History Manipulation描述如下:风险会造成的后果攻击者可以通过操纵浏览器的 JavaScript History对象破坏浏览器的同源策略并侵犯用户的隐私。在某些情况下，这使攻击者可以检测用户是否已登录、跟踪用户的活动或推断其他条件值的 状态。这也可能泄露初始攻击的结果，从而增强跨站点请求伪造(XSRF) 攻击。起因 如何发生现代...

描述: 造成http响应头截断漏洞的主要原因是对用户提交的非法字符没有进行严格的过滤，尤 其是CR,LF字符的输入。攻击者通过发送一经过精心构造的request，迫使服务器认为其返回的数据是两个响应，而不是常规的一个响应。当可以通过精心制作的request完全 控制第二个响应时，可以通过这样来实现攻击：发送两个请求A，B。A请求包含构造数据，该请求致使服务器返回两个响应R1，R2，其中R2是可以...