1.會話標識未更新:登入頁面加入以下**
request.getsession(true).invalidate();//清空session
cookie cookie = request.getcookies()[0];//獲取cookie
cookie.setmaxage(0);//讓cookie過期
request.getsession(true).invalidate();//清空session
cookie cookie = request.getcookies()[0];//獲取cookie
cookie.setmaxage(0);//讓cookie過期不是很明白session的機制,高手路過可以指教一下。
2.跨站點請求偽造:
在出錯的url加引數sessionid。
response.getwriter().write( "");
response.getwriter().write( "");如果帶引數報ssl錯誤,使用下面的post方式傳值:
response.getwriter().write(
"");
response.getwriter().write(
""); 3.啟用不安全http方法
修改 web 工程中或者伺服器web.xml,增加安全配置資訊,禁用不必要http方法
/*put
delete
head
options
trace
basic
修改web工程中或者伺服器web.xml,增加安全配置資訊,禁用不必要http方法
/*put
delete
head
options
trace
basic
4.已解密登入請求
配置ssl,具體見
在web.xml加入如下配置。
ssl/*
confidential
ssl/*
confidential
5.快取記憶體的ssl頁面
頁面頁面
response.setheader("pragma", "no-cache");
response.setheader("pragma", "no-cache");6.目錄列表
配置檔案目標拒絕訪問。
在conf/web.xml下:
default
org.apache.catalina.servlets.defaultservlet
debug
0 listings
false
1 default
org.apache.catalina.servlets.defaultservlet
debug
0 listings
false
1 把listings對應的value設定為fasle.
或者把上面的這個servlet加到你的虛擬路徑下的web-inf/web.xml中,把servlet-name改為其它的,再加一下servlet-mapping
default1
org.apache.catalina.servlets.defaultservlet
debug
0 listings
false
1 default1
/ default1
org.apache.catalina.servlets.defaultservlet
debug
0 listings
false
1 default1
/
appscan 安全漏洞修復
1.會話標識未更新 登入頁面加入以下 request.getsession true invalidate 清空session cookie cookie request.getcookies 0 獲取cookie cookie.setmaxage 0 讓cookie過期 不是很明白session的...
AppScan安全漏洞報告
b 1.會話cookie 中缺少httponly 屬性。b 修復任務 向所有會話cookie 新增 httponly 屬性 解決方案,過濾器中,httponly是微軟對cookie做的擴充套件,該值指定 cookie 是否可通過客戶端指令碼訪問,解決使用者的cookie可能被盜用的問題,減少跨站指令...
Linux Bash安全漏洞修復
1.影響的系統包括 centos debian redhat ubuntu 2.檢查系統是否要修復 root mysql env x echo vulnerable bash c echo this is a test vulnerable this is a test root mysql 如果輸...