漏洞危害:
1、使用者名稱和密碼儲存在cookie中,易被竊取,且密碼可被還原成明文資訊;防護建議:2、會話cookie不包含secure屬性,因此注入站點的惡意指令碼可能訪問此cookie,並竊取它的值。任何儲存在會話令牌中的資訊都可能被竊取,並在後續攻擊中用於身份盜竊或使用者偽裝。
1、敏感資料如非必要,不要利用cookie傳遞交換。解決方案:2、密碼等敏感資料傳輸時應加密處理。
3、設定cookie屬性為httponly和secure。
4、設定sessionid在cookie中傳輸。
以下方法在過濾器裡面加上
/**
* 設定httponly
蘋果也太不安全了 系統被曝存安全漏洞
昨天記者了解到,安全研究人員發現了蘋果系統的乙個安全漏洞,所幸蘋果剛剛推送的系統更新中完成了對此的修復。蘋果系統的漏洞開始頻繁出現 這個安全漏洞是思科公司talos安全研究小組的高階研究員泰勒 博昂發現的。通過該漏洞,黑客可以侵入蘋果作業系統的中心,利用影象輸出的方式進行攻擊。黑客首先建立乙個tif...
伺服器SSL不安全漏洞修復方案
關於ssl poodle漏洞 poodle padding oracle on downgraded legacy encryption.是最新安全漏洞 cve 2014 3566 的代號,俗稱 貴賓犬 漏洞。此漏洞是針對ssl3.0中cbc模式加密演算法的一種padding oracle攻擊,可以...
執行緒不安全
背景 執行緒不安全 sleep 模擬網路延遲 後多執行緒併發訪問同乙個資源 方法1 同步 塊 語法 synchronized 同步鎖 catch interruptedexception e 方法2 同步方法 使用synchronizd修飾的方法,就叫同步方法,保證a執行緒執行該方法的時候,其他執行...