09 2012 档案

摘要：最近一直刷新AppScan的下限，对于Appscan报出的中危漏洞“启用不安全的HTTP方法”。分析了其扫描机制，以及处理方法和绕开方法。如果不耐烦看分析过程，请直接跳到文章最后看处理方法。 0. 漏洞背景 “启用了不安全的 HTTP 方法”属于“中”危漏洞。漏洞描述是：根据APPSCAN的报告，APPSCAN通过OPTIONS请求，当响应中发现DELETE、SEARCH、COPY等方法为允许方法时，则认为是漏洞。 详见下图： Web服务器（以IIS为例）在没有任何设置是，使用OPTIONS命令，可以返回所有能够响应的HTTP方法，如OPTIONS, T... 阅读全文

摘要：最近开发java控制台项目，由于用了第三方库，必须使用utf8字符。当然在开发环境eclipse下，显示是正常的： 但是windows的控制台，却是输出乱码。 虽然不改，程序逻辑是正确，作为偏执狂还是翻阅了各种资料： http://www.cnblogs.com/QQParadise/articles/1685177.htm http://dustin.iteye.com/blog/77551 网上各种文章，不是用chcp改变控制台编码，就是建议修改程序编码为GBK。 参考了stackoverflow的一篇文章，找到一种使用Windows内核API的方案... 阅读全文

摘要：继【图解漏洞】图解跨站请求伪造（CSRF）原理，再整理了一幅图说明CSRF的原理。CSRFCS=Cross Site,跨站，从b.com发起RF=Request Forgery，利用已经验证的a.com的cookie，从b.com向a.com中的某个页面performclick.aspx发起页面的请求，由于在同一个浏览器中共享cookie，因此这个请求看起来像a.com自己发出的，因此是请求伪造。CSRF有一些特点：1 b.com是从前端攻击，即从用户的浏览器发起的，因为其他地方（例如b.com的后端）就无法通过共享cookie来伪造请求2可以伪造的请求，与a.com存在CSRF漏洞的页面有关 阅读全文