jsp页面安全扫描,出现基于DOM的XSS和重定向问题的解决方法

于 2023-03-10 10:49:29 发布
阅读量576 收藏 5
点赞数
文章标签: eclipse
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_42778675/article/details/129437531
版权

9aefaaeb0d3c403d95adc14bfd5d010c.jpg

 扫描结果,当时一脸懵,没接触过jsp的前端仔,不知道从何下手。

cf6f75d2eabe4ac1bdd316cf7b70af1d.jpg

8d0a0fc99b8447bb913712ff91468153.jpg 

 我主要是这两种问题1.路径参数问题,2.JQ方法不合适。

解决办法1:

c6be2be839a744799caae1d39e657f7b.jpg

 jq方法不好使,换一种写法展示

084281b2e76a41d3802b38892ece4888.jpg

6bb0d8dfbf264af9be6c9063bc577e7c.jpg 

 4084d98cf43c41d4b37fa737f454f447.jpgURL路径上的参数不单独获取,放到form里直接取集合就行,解决完真舒服

解决方法2:如果你是纯内网开发,也可以给安全扫描的同事发个说明,例如f1550a3afd034201877ebd651679e543.jpg

 

Greg-刘
关注
27.2.2 ASP/ASP.NET页面获取客户端证书的方法
PKI
04-28 5993
ASP/ASP.NET页面上读取客户端数字证书有两中方法,分别是读取Request.ClientCertificate(key[SubField])和读取Request.ServerVaribles(Server Environment Variable)。1.读取Request.ClientCertificate(key[SubField])ClientCertificate集合是
RequestRequest.Form和Request.QueryString的区别
06-10
仅仅是一个简单的数组,实际上,它是多个数组的集合,其中包括了`QueryString`、`Form`、`Cookies`、`ClientCertificate` 和 `ServerVariables` 等服务器变量数组的值。这意味着通过`Request`,开发者可以访问...
Windows2003IIS6、ASPRequest.ClientCertificate("Certificate")最后一字节错误
你是我永远的乡愁
12-29 579
<br />如标题所言,我们发现通过该数组取出来的证明书的最后或倒数第二个字节是错误的。<br />多番调查、试验、追踪原因,发现竟然又是MS的BUG!<br /> <br />http://support.microsoft.com/kb/916833/en-us/<br /> <br />Consider the following scenario. You browse an .asp Web page that is hosted on Microsoft Internet Informati
asp获取服务器信息大全(包括客户端证书信息)
Jinhill's Blog
01-15 6465
.服务环境变量Request.ServerVariables("Url")  返回服务器地址  Request.ServerVariables("Path_Info")  客户端提供的路径信息  Request.ServerVariables("Appl_Physical_Path")  与应用程序元数据库路径相应的物理路径  Request.ServerVariables("Path_Tr
TLS/SSL 协议详解(15) client certificate
叼哥的博客
11-19 4126
如果服务器端请求了客户端的证书,客户端即使没有证书,也需要发送该类型的握手报文,只是这种情况下,里面的内容为0。 如果浏览器有对应的证书,则会发送证书,当然,也有可能发送上级证书(即发送证书链),这个完全取决于浏览器。特别说明一点,我亲眼见过IE带了一个过期的上级证书发送到服务器,这个简直亮瞎了我。 ---------------------  作者:Mrpre  来源:优快云  原文...
Fiddler 指定客户端证书
vistaup的博客
11-18 1045
Fiddler 指定客户端证书
ASP.NET使用X509Certificate2出现一系列问题的解决方法
01-03
在做微信支付退款的时候,由于需要使用到p12证书,结果就遇到一系列的坑。这里做个记录方便以后查阅。 原先加载证书的代码: 代码如下:1 X509Certificate2 cert = new X509Certificate2(path + WxPayConfig.SSLCERT...
新版精品ASP系列教程:第课-Request对象及其使用.pptx
10-15
- **ClientCertificate**:当客户端使用HTTPS等安全协议访问时,存储客户端证书信息,提供身份验证。 - **Cookies**:包含客户端发送的所有Cookie,每个Cookie对应一个只读成员,适用于跟踪用户状态。 - **Form**:...
javascript asp教程第八课--request对象
10-31
JavaScript ASP 教程第八课的主要内容是关于 Request 对象的介绍和使用Request 对象是 ASP 中的一个基本对象,它提供了对 HTTP 请求的访问和处理。Request 对象具有五个集合、一个属性和一个方法,本文将对其进行...
ASP.NET 3.5中的ClientCertificate属性与Web通信安全
"了解ASP.NET中的ClientCertificate属性,以及与之相关的ASP.NET常用对象,包括Request、Response、Cookie、Session和Server对象。" 在ASP.NET开发中,`ClientCertificate`属性是一个非常关键的特性,特别是在处理...
Request和Response详解
耀的专栏
11-30 1223
Request 和 Response 对象起到了服务器与客户机之间的信息传递作用。Request 对象用于接收客户端浏览器提交的数据,而 Response 对象的功能则是将服务器端的数据发送到客户端浏览器。 一、Request对象的五个集合: QueryString:用以获取客户端附在url地址后的查询字符串中的信息。     例如:stra=Request.QueryString ["s
.net Framwork请求https携带客户端证书
学者-微风
06-24 750
.net Framwork请求https携带客户端证书
绕过SSL双向校验抓取Soul App的数据包
Circle-C的博客
02-05 1万+
参考了这篇文章:Android抓包总结 - 先知社区https://xz.aliyun.com/t/6551#toc-10 毫无反编译经验的我,硬着头皮参考这篇文章抓到数据,记录一下抓包过程,全部是按照参考文章来的,这里我补充了一些细节以及自己遇到的坑。 软件: soul_v3.4.0.apk IDAPRO V6.8 https://pan.baidu.com/s/1hqYImNE...
C#访问带有安全协议的Webservice(https、生成wsdl代理类)
lhzjj的专栏
09-12 1万+
1.最近公司上项目,其中有一个小栏目 是查询身份证的,就是输入身份证码和姓名返回你的地址和图片的这种,也就是公安部全国公民身份信息系统(NCIIS)我是第一次,中间有几个问题第一个难题是这样的,要验证证书,当时给文档的时候只有一个地址,也只有安装上了证书文件才能访问,基本的方法是这样的       按上面写的把官方提共的地方输入到地址栏里,然后回车,然后会出现这个对话框,我们只要单击查看证书
【IoT】SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate
moxiaomomo的专栏
11-01 4335
错误提示 在安装并部署mosquitto时, 使用了ssl安全通信机制, 结果在client与broker之间连接时出现了如下错误: SSL3_GET_CLIENT_CERTIFICATE:peer did not return a certificate 历史步骤 首先/etc/mosquitto/mosquitto.conf中是这么配置(其中证书/公钥/密钥的生成过程参考自: http
C# HttpClient 带证书的https 请求
热门推荐
快乐小斗车
04-09 2万+
1.证书安装到服务器上开始 -&gt; 运行 -&gt;输入 mmc 进入控制台界面2.  选择 “证书” -&gt;“计算机账户”-&gt;“下一步”-&gt;“完成”3. 选择相关的证书进行导入3.证书颁发给IIS程序使用,需要使用的工具  Windows HTTP Services Certificate Configuration Tool工具默认安装的目录为: C:\Progra...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值