05 2016 档案
摘要:项目中使用了ueditor,安全测试发现一个漏洞,涉及漏洞的文件名字为UploadHandler.cs,其中有一个方法: 这个方法是存在漏洞的,虽然前端做了判断,但是通过中间人攻击方法,是可以绕过的。 改造该方法如下: 看看就应该明白了,虽然上传允许的为.jpg,但是由于判断方法的不严谨,仍然可以绕
阅读全文
摘要:package com.toogen.log4j; import java.io.File; import org.apache.commons.logging.Log; import org.apache.commons.logging.LogFactory; public class FileTest { private static Log log = LogFactory....
阅读全文
摘要:本文介绍一种更安全的方式上传图片,他能有效的防止一些通过修改文件后缀或MIME来伪造的图片的上传,从而保证服务器的安全,希望对大家有所帮助。 ASP.NET中在判断文件格式时,我们以前常用的方法就是通过截取扩展名来做判断,或者通过ContentType (MIME) 判断,这两种方法都不太安全,因为
阅读全文
摘要:项目中常用的API接口签名验证方法: 1. 给app分配对应的key、secret2. Sign签名,调用API 时需要对请求参数进行签名验证,签名方式如下: a. 按照请求参数名称将所有请求参数按照字母先后顺序排序得到:keyvaluekeyvalue...keyvalue 字符串如:将arong
阅读全文
摘要:在请求之前加上
阅读全文
