原创 跨站腳本攻擊(XSS)(三)
XSS的三種形式 1,反射性XSS 應用中包含未驗證的或未編碼的用戶輸入,並作爲HTML或者其他未啓用的CSP頭的一部分輸出。成功的攻擊將在受害者的瀏覽器上執行任意HTML或js代碼,一般而言,用戶需要點擊鏈接或與其他攻擊者控制頁面做
2018-09-20 01:15:50
原创 使用已知漏洞的組件(四)
如何預防 軟件項目應該遵循下面的流程: 1,移除不使用的依賴,不需要的功能、組件和文檔; 2,利用工具如 versions、DependencyCheck、retire.js 等來持續的記錄客戶端和服務器以及它們的依賴庫的版本信息;
2018-09-20 01:15:50
原创 不安全的反序列化(五)
WHY: 分佈式應用程序或那些需要在客戶端或文件系統上存儲狀態的程序,可能正在使用對象序列化,具有公共傾聽器或依賴於客戶端維護狀態的分佈式應用程序,很可能允許對序列化數據進行篡改。這種攻擊可使用於二進制格式,或基於文本的格式。 1,序
2018-09-20 01:15:50
原创 應用程序安全風險
什麼是應用程序安全風險? 攻擊者可以通過應用程序中許多不同的路徑方法去危害您的業務或者企業組織。每種路徑方法都代表了一種風險, 這些風險可能會,也有可能不會嚴重到值得您去關注。
2018-09-18 04:32:05
原创 注入攻擊(一)
應用在何時容易受到攻擊: 1,用戶支持的數據沒有經過應用程序的驗證,過濾或淨化; 2,惡意數據直接被解釋器用於動態的查詢或非參數化的調用,而無需上下文感知的轉義; 3,在ORM搜索參數中使用了惡意數據,這樣搜索就會預估出包含敏感或所
2018-09-18 04:32:05
原创 OWASP Top 10 應用安全風險– 2017
1,注入:將不受信任的數據作爲作爲命令或查詢的一部分發送到解析器時,會產生注入SQL注入,OS注入和LDPA注入的注入缺陷,攻擊者的惡意數據可以誘使解析器在沒有適當授權的情況下執行非預期命令或訪問數據; 2,失效的身 份認證和會話管理
2018-09-18 04:32:05
原创 失效的身份認證和會話管理(二)
缺陷: 1,允許憑證填充,這使得攻擊者獲得有效用戶名和密碼的列表; 2,允許暴力破解或其他自動攻擊; 3,允許默認的、弱的或衆所周知的密碼,例如“admin/admin“; 4,使用弱地或失效的驗證憑證,忘記密碼程序,例如“基
2018-09-18 04:32:05
原创 常見的web網站攻擊類型
1,SQL注入 2,命令注入 3,任意文件上傳 4,任意文件下載 5,反序列化漏洞 6,遠程命令執行 7,已知的探測器掃描行爲 8,文件包含 9,XXE 10,XSS 11,任意文件遍歷 12,SSRF 13,
2018-09-18 04:32:05
原创 開源RPC框架--Dubbo
1,概念 Dubbo是一個高性能,輕量級,基於Java的RPC框架,Dubbo提供的功能,分別爲: (1)接口的遠程調用:高性能接口,對用戶透明; (2)容錯和負載均衡:dubbo支持多種開箱即用的負載均衡策略,可以感知下游服務的
2018-09-13 05:33:39
1
原创 java面試題彙總
1,面向對象的特徵有哪些? 答: (1)抽象: 抽象就是找出事物的相似和共性,然後將這些事物歸爲一個類;例如一個事物可能有很多的特性,但我們可能只關心這些特性中的某一個或某些特性。 (2)封裝:具有“高內聚、低耦合”的特性,封裝是
2018-09-13 05:33:39
原创 使用POI實現Excel的導出功能
1,Excel工具類 import org.apache.poi.hssf.usermodel.*; import org.apache.poi.hssf.util.HSSFColor; import org.apache.poi.s
2018-09-13 05:33:39
原创 Java分佈式定時任務--Elastic-job
1,什麼是Elastic-job Elastic-job 是一個分佈式調度解決方案。 Elastic-Job由2個獨立的子項目組成:Elastic-Job-Lite和Elastic-Job-Cloud。
2018-09-13 05:33:39
1
原创 關於使用jsoup防止XSS的心得
1,基本概念 jsoup 是一款Java 的HTML解析器,可直接解析某個URL地址、HTML文本內容。它提供了一套非常省力的API,可通過DOM,CSS以及類似於jQuery的操作方法來取出和操作數據。 2,使用jsoup能夠做
2018-09-13 05:33:39