Web安全
关注
分享
扫一扫
ywb201314
兵法有言,知己知彼,百战不殆
展开
-
SpringMVC防止XSS攻击
XSS全称为跨站脚本攻击 , 具体见百度百科最常见的是用Filter来预防 ,就是创建一个新的httpRequest类XsslHttpServletRequestWrapper,然后重写一些get方法(获取参数时对参数进行XSS判断预防).1 . 在web.xml中添加Filter<filter> <filter-name>XssFilter&l...转载 2019-03-20 17:07:14 · 925 阅读 · 0 评论 -
如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序
原文:http://linder.iteye.com/blog/735435简介WebDAV (Web-based Distributed Authoring and Versioning)是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展(就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法),使得应用程序可以直接将文...转载 2019-03-20 17:09:14 · 1270 阅读 · 0 评论 -
Tomcat错误信息(服务器版本号)泄露(低危)
一、问题描述Tomcat报错页面泄漏Apache Tomcat/7.0.52相关版本号信息,是攻击者攻击的途径之一。因此实际当中建议去掉版本号信息。二、解决办法1、进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar进入到\org\apache\catalina\util目录下2、编辑ServerInfo.properties文件,编辑最后三行,去掉版本号等...转载 2019-03-20 17:57:59 · 1217 阅读 · 0 评论 -
Java Web项目漏洞:检测到目标URL存在http host头攻击漏洞解决办法
背景项目上线之后使用绿盟或Acunetix安全扫描工具扫描后发现了头攻击漏洞。截图如下:漏洞提示检测工具在检测出漏洞后给予的提示为:大意为不要使用request中的serverName,也就是说host header可能会在攻击时被篡改,依赖request的方法是不可靠的,形如JSP头部中的:String path = request.getContextPath();Strin...转载 2019-03-18 14:48:17 · 1090 阅读 · 0 评论 -
JSP安全开发之XSS漏洞详解
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户的特殊目的。前言 大家好,好男人就是我,我就是好男人,我就是-0nise。在各大漏洞举报平台,我们时常会看到XSS漏洞。那么问题来了,为何会出现这种...转载 2019-03-18 14:50:55 · 4263 阅读 · 0 评论 -
JSP过滤器防止Xss漏洞的实现方法(分享)
下面小编就为大家带来一篇JSP过滤器防止Xss漏洞的实现方法(分享)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧在用java进行web业务开发的时候,对于页面上接收到的参数,除了极少数是步可预知的内容外,大量的参数名和参数值都是不会出现触发Xss漏洞的字符。而通常为了避免Xss漏洞,都是开发人员各自在页面输出和数据入库等地方加上各种各样的encode方法来...转载 2019-03-19 10:08:00 · 1970 阅读 · 0 评论