1.弱口令漏洞   解决方案:最好使用至少6位的数字.字母及特殊字符组合作为密码.数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密.   2.未使用用户名及密码登录后台可直接输入后台URL登录系统.   解决方案:通过配置filter来过滤掉无效用户的连接请求.   3．JSP页面抛出的异常可能暴露程序信息.有经验的入侵者,可以从JSP程序的异常中获取很多信息,比如程序的部分架构.程序的物理路径.SQL注入爆出来的信息等.   解决…

针对需要使用T3协议的Weblogic2628漏洞解决方案 前几天用户的服务器中检查到了Weblogic2628l漏洞,并且打过Oracle官方补丁后还是能检测到. 针对此问题,去网上查找了一些资料.做了一些总结和测试,一共有四种解决此漏洞的方法: 1.禁止使用Weblogic的T3协议.(客户需要使用此协议,不可取): 2.升级Oracle官方4月份补丁.(经过测试,打过补丁后,此漏洞依然存在): 3.使用绿盟NIPS,规则库能够阻挡外部攻击. 4.设置T3协议白名单.(对需要使用T3协议的情…

原创作品,允许转载,转载时请务必以超链接形式标明文章 原始出处 .作者信息和本声明.否则将追究法律责任.http://freeze.blog.51cto.com/1846439/677348 此文凝聚笔者不少心血请尊重笔者劳动,转载请注明出处.违法直接人肉出电话 写大街上. http://freeze.blog.51cto.com/个人小站刚上线 http://www.linuxwind.com 有问题还可以来QQ群89342115交流. 今儿网友朋友说:freeze黔驴技穷了,博客也不更新,也…

摘自:http://blog.nsfocus.net/web-vulnerability-analysis-coding-security/ 超全Web漏洞详解及其对应的安全编码规则,包括:SQL注入.XSS.CSRF.文件上传.路径遍历.越权.XML以及业务安全等,实例告诉你各个漏洞对应的编码规则.给你的代码加把安全锁! 文章目录 一.Web安全基础 1.1 常见的Web安全漏洞 1.2 安全编码原则 1.3 数据验证 1.4 身份认证&会话管理 1.5 授权管理 1.6 存储安全 二.SQL…

基于 burpsuite的web逻辑漏洞插件开发 BurpSuite 提供了插件开发接口,支持Java.Python.Ruby语言的扩展.虽然 BApp Store 上面已经提供了很多插件,其中也不乏优秀好用的插件. 推荐几个个人感觉好的插件CO2,Logger++,Autorize,XSS Validator 但是通用化的工具无法完全符合web安全测试人员的特定需求.本节我和大家探讨,如何根据实际需求自己开发出提高安全测试效率的插件.      本次课程主要是从以下四个方面展开 1.为什么要独…

[2021]常见web安全漏洞TOP10排行 应用程序安全风险 攻击者可以通过应用程序中许多的不同的路径方式去危害企业业务.每种路径方法都代表了一种风险,这些风险都值得关注. 什么是 OWASP TOP 10 OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目.对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识. 其最具权威的就是"10项最严重的Web 应用程序安全风险列表" ,总结并更新Web应用程序中最可能.最常…

网站攻击主要分为以下几类: (1) sql注入攻击 SQL Injection:就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令.它是利用现有应用程序,将(恶意)的SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入(恶意)SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句. (2) xml注入攻击 XML是存储数据的一种方式,如果在修改或者查询时,没有做转义,直接输入或输出数据,…

客户评估基于云的存储解决方案时,面临的挑战之一是以经济高效.安全快速的方式从 Blob 存储区移进和移出大量数据.今天,我们很高兴地宣布发布 Windows Azure 导入/导出的预览版,这款新服务可以解决该挑战. 借助这款新服务,客户可以请求通过 FedEx 将硬盘驱动器中的加密数据发送到我们的数据中心,数据中心会使用 Microsoft 的高速内部网络将数据传输到客户的 Blob 存储区帐户或从Blob账号中读取数据. 使用导入/导出发送的所有数据将使用 BitLocker 进行加密,密钥…

1.Nikto 基于Web的漏洞信息扫描 nikto 自动扫描web服务器上没有打补丁的软件,同时同时也检测驻留在服务器上的危险文件,nikto能够识别出特定的问题,检测服务器的配置问题, 检测某台主机的端口 - Nikto v2.1.6/2.1.5+ Target Host: 116.255.235.9+ Target Port: 80+ GET Retrieved x-powered-by header: ASP.NET+ GET The anti-clickjacking X-Frame-…

Web安全测试解决方案 介绍常见的Web安全风险,Web安全测试方法.测试基本理论和测试过程中的工具引入…