通常我们会采取以下的措施来保护会话。1.采用强算法生成Session ID正如我们前面用Web Scrab分析的那样,会话ID必须具有随机性和不可预测性。一般来说,会话ID的长度至少为128位。下面我...
Web应用里的HTTP参数污染(HPP)漏洞
HPP是HTTP Parameter Pollution的缩写。这个漏洞由S. di Paola 与L. Caret Toni在2009年的OWASP上首次公布。这也是一种注入型的漏洞,攻击者通过在H...
jQuery跨站脚本漏洞XSS with $(location.hash)漏洞
jquery下载地址:https://code.jquery.com/jquery/影响范围: 版本低于1.7的jQuery过滤用户输入数据所使用的正则表...
点击劫持漏洞:使用X-Frame-Options 防止网页被Frame
使用X-Frame-Options防止网页被Frame防止被 FRAME 加载你的网站页面1. meta 标签:很多时候没有效果,无视 view plain copy<met...
mysql加密与解密decode与encode乱码解决方法
mysql decode 加密与解密更新加密UPDATE card SET test=ENCODE(NAME,'kljlsfjasdf') WHERE id=1;解密的方法SELECT...
TRS漏洞整理
TRS北京拓尔思信息技术股份有限公司,其业务系统主要应用于政府、教育、企业等领域,漏洞较多系统有WCM(内容管理系统)、WAS(文本检索系统)、IDS(身份管理系统)。好多客户用到这个,记录一下。WC...
Jmeter实现webservice的压力测试
Jmeter和soupUI同样可以用于对ws服务的压力测试,不同之处在于:1.soupUI是专门针对ws服务设计的测试工具,即包括一般的功能性测试,也能包含针对ws服务的压力测试;Jmeter是适合于...
方便测试和调用webservice的工具
现在很多时候我们都会遇到这种情况:自己开发的程序要和其他各种各样的程序进行接口数据交互,这里就用到常用的接口服务的调用,但是有时候为了进行方便的测试,我们可能会写许多测试类等来测试,这样浪费了时间,也...
不重启Tomcat,覆盖本地代码
此篇文章中的内容已经报告给Apache,他们的回复如下:This report does notdescribe a security vulnerability in Apache Tomcat.T...
TFN2K 2016修订版发布(32/64位)
前言:tfn2k发布的时间太早,最大一个缺陷就是flood数据包(TCP/UDP)因为校验和错误,远端被攻击的服务器会直接丢弃,在中国大陆有高人的优化(tfn2k优化作者:r0otk1tz)并对flo...