随便贴两个漏洞,如 Apache JServ协议服务

1、Apache JServ协议服务

描述:
Apache JServ协议(AJP)是一种二进制协议,可以将来自Web服务器的入站请求代理到 位于Web服务器后面的应用程序服务器。不建议在互联网上公开使用AJP服务。 如果AJP配置错误,可能会允许攻击者访问内部资源。

我的修复建议:{tocamat目录}/conf/server.xml中将下面的配置给注释掉:

 

2、没有CSRF保护的HTML表单

描述:

此警报需要手动确认

跨站点请求伪造(CSRFXSRF)是一种漏洞,其中攻击者将欺骗者向受害者提出请求没有打算做。因此,使用CSRF,攻击者滥用Web应用程序与受害者浏览器的信任。

Acunetix发现一个没有明显的反CSRF保护的HTML表单。有关详细信息,请参阅“攻击详细信息”部分有关受影响的HTML表单的信息。

影响:

攻击者可以使用CSRF欺骗受害者访问攻击者托管的网站,或点击包含的URL恶意或未经授权的请求
CSRF是一种混乱的副手攻击,在伪造时利用受害者的认证和授权 请求正在发送到Web服务器。因此,如果CSRF漏洞可能会影响高度特权的用户,例如 管理员可以全面的应用程序妥协。

 

报告给出的建议是:

验证此表单是否需要反CSRF保护,并在必要时实施CSRF对策。

推荐和最广泛使用的防止CSRF攻击的技术也被称为反CSRF令牌,有时称为同步器令牌。设计良好的反CSRF系统的特点如下属性。

1)反CSRF令牌对于每个用户会话应该是唯一的

2)会话应该在适当的时间段之后自动过期

3)反CSRF令牌应该是具有显着长度的密码随机值

4)反CSRF令牌应该是加密安全的,也就是由强伪随机数生成器生成的(PRNG)算法

5)反CSRF令牌被添加为表单的隐藏字段,或者在URL内添加(仅当GET请求导致状态时才需要更改,即GET请求不是幂等)

6)如果反CSRF令牌验证失败,服务器应拒绝所请求的操作

当用户提交表单或进行一些需要Cookie的其他经过身份验证的请求时,反CSRF令牌应该是包含在请求中。 然后,Web应用程序将在处理之前验证此令牌的存在和正确性请求。 如果令牌丢失或不正确,请求可以被拒绝。

建议:

在提交中加入一个$_SESSION['token']唯一值做验证。

意思就是在每次请求后台接口时在最后面在随机加个参数,传入一个随机的数。比如在前台js中随机生成一串数字,然后以隐藏的方式放入表单中或session中。后台action在接受后再判断是否有这个值。

 

转载于:https://www.cnblogs.com/xiaoliu66007/p/11275044.html

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/247309.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

vue3学习笔记 Composition API setup

一、Composition API优势 相对于vue2的option API Vue3的Composition API设计更有优势 Composition(组合式)Api 功能分组 Composition(组合式)Api 功能导入复用 组合式Api 所解决的问题 (1) 更好的代码组织结构 (2) 相同的代码逻辑可以进行复用 home.vue 3种方式递进升级…

【TCP传输数据-键盘录入】

package com.yjf.esupplier.common.test;import java.io.*; import java.net.Socket;/*** author shusheng* description TCP 传输数据:键盘录入* Email shushengyiji.com* date 2019/1/15 22:57*/ public class ClientDemo1 {public static void main(String[] args) throws I…

04

1、创建/guanli 目录,在/guanli下创建zonghe 和 jishu 两个目录(一条命令) [rootlocalhost ~]# mkdir /guanli [rootlocalhost ~]# touch /guanli/zonghe [rootlocalhost ~]# touch /guanli/jishu [rootlocalhost ~]# ls /guanlix 2、添加组帐…

事件冒泡 bubbles cancelBubble stopPropagation() stopImmediatePropagation() 区别

<!DOCTYPE html> <html><head><meta charset"utf-8"><title>事件冒泡</title></head><body><h4>bubbles cancelBubble stopPropagation() stopImmediatePropagation() 区别</h4><input type"te…

vue2.0关于添加属性后视图不能更新的问题

属性赋值和this.$set 和vue.$set方法我不行 可以用 this.$delete来进行删除后在设置都可以了 转载于:https://www.cnblogs.com/zhouyideboke/p/11276299.html

vite2.1 最新alias别名设置方式

vite.config.js 别名配置 resolve.alias 类型&#xff1a; Record<string, string> | Array<{ find: string | RegExp, replacement: string }> 将会被传递到 rollup/plugin-alias 作为 entries 的选项。也可以是一个对象&#xff0c;或一个 { find, replacement …

Java生鲜电商平台-商城后台架构与原型图实战

Java生鲜电商平台-商城后台架构与原型图实战 说明&#xff1a;生鲜电商平台的运营平台&#xff0c;其中需要很多的功能进行管理。目前把架构与原型图实战分享给大家&#xff0c;希望对大家有用. 仪表盘/首页&#xff0c;简单统计&#xff0c;报表页&#xff0c;运营快捷口。实际…

antdesignvue upload vue3个人笔记待更新

remove点击移除文件时的回调&#xff0c;返回值为 false 时不移除。支持返回一个 Promise 对象&#xff0c;Promise 对象 resolve(false) 或 reject 时不移除。Function(file): boolean | Promise无 beforeUpload上传文件之前的钩子&#xff0c;参数为上传的文件&#xff0c;若…

logging模块和包

日志模块和包 logging logging模块简介 logging模块是记录我们软件的各种状态&#xff0c;还可以记录各种交易信息 其实每个软件都是有错误日志的,开发人员可以通过错误日志中的内容对他的程序进行修改 日志级别 import logginglogging.debug(调试debug) # DEBUG 10…

python软件开发规范

软件开发规范 什么是软件开发规范&#xff1f; 好的设计项目目录结构&#xff0c;就和编码风格一样&#xff0c;是每个程序员都有的风格&#xff0c;但是在流水化标准化作业过程中&#xff0c;个性和风格是 不被鼓励的。如果你去维护一个非常不好读的项目&#xff0c;虽然实现逻…

D3Vueecharts个人乱记

利用d3vue开发的一个网络拓扑图 https://copyfuture.com/blogs-details/20200710101052238h32wazjmcii49dr 一开始用的是echart画的。 根据https://gallery.echartsjs.com/editor.html?cxH1Rkt3hkb&#xff0c;成功画出简单的节点关系。 如图&#xff1a; 总结—— 【优…

vue中使用Vue-pdf在线预览

下载 npm i vue-pdf 引入(在所需要预览的页面) <script>import axios from axiosimport pdf from vue-pdfimport CMapReaderFactory from vue-pdf/src/CMapReaderFactory.js // 加载中文的包export default {components: {pdf},data () {return {numPages:&#xff0c;…

oracle 自定义 聚合函数

Oracle自定义聚合函数实现字符串连接的聚合 create or replace type string_sum_obj as object ( --聚合函数的实质就是一个对象 sum_string varchar2(4000), static function ODCIAggregateInitialize(v_self in out string_sum_obj) return number, --对象初始化 member func…

Vue3里的setup中使用vuex

useStore 这里我们可以直接从vuex 4.X中解构出useStore方法&#xff0c;就可以在setup中使用vuex的相关函数 template 使用$store <template><div><h2>{{ $store.state.count }}</h2><button click"increaseCount">点击</button…

JQ 取CHECKBOX选中项值

备忘录 $("[namecheckbox]:checked").each(function(){ alert((this).val()); }) ;转载于:https://www.cnblogs.com/showblog/archive/2010/09/13/1825099.html

vue3 echarts5 graph关系图谱 点击图例节点消失线不消失重复生成问题

const myChart ref(null);const myCharts ref(null);onMounted(() > {// 这种会导致线仍然存在 重复生成myCharts.value echarts.init(myChart.value);myCharts.value.setOption(option);});return {myChart,myCharts,}; 现象&#xff1a;如下图1 点击图例类目2&#xf…

非常完整的coco screator socketio

https://github.com/SeaPlanet/cocoscreator_chat 前端源码 https://github.com/socketio/socket.io-client https://cdnjs.com/libraries/socket.io 转载于:https://www.cnblogs.com/suneil/p/11288628.html

JavaScript 中 obj.hasOwnProperty(prop) 方法

语法 obj.hasOwnProperty(prop) 参数 prop 要检测的属性的 String 字符串形式表示的名称&#xff0c;或者 Symbol。 返回值 用来判断某个对象是否含有指定的属性的布尔值 Boolean。 描述 所有继承了 Object 的对象都会继承到 hasOwnProperty 方法。这个方法可以用来检测…

python面向对象初识

面向对象编程 1.面向对象初步了解 ​ 面向过程编程与函数编程对比&#xff1a; s1 ajdsgkaffddha count 0 for i in s1:count 1 print(f字符串的长度为{count}) # 面向过程编程每计算一次便使用一次for循环def my_len(s): # 计算数据类型长度的函数&#xff0c;可重复使用…

Vue3 VSCode新建项目报错The template root requires exactly one element.

1.首先我们点击左侧第四个图标插件2.输入框搜索vetur插件3.点击设置图标&#xff0c;再点击扩展设置4.搜素vetur>validation>template&#xff0c;取消vetur>validation>template的勾选 然后就不会报错了