随笔分类 - # 安全问题
摘要:问题描述 最近在自己开发的站点 引用CSDN文章图片时,网络请求提示403,效果如下: 问题原因 首先,http请求体的header中有一个referrer字段,用来表示发起http请求的源地址信息,这个referrer信息是可以省略但是不可修改的,就是说你只能设置是否带上这个referrer信息,
阅读全文
摘要:Sqlmap介绍 sqlmap支持MySQL, Oracle,PostgreSQL, Microsoft SQL Server, Microsoft Access, IBM DB2, SQLite, Firebird,Sybase和SAP MaxDB等数据库的各种安全漏洞检测。 sqlmap支持五种
阅读全文
摘要:说明 SQL注入是软件开发项目测试过程中必测项,重要等级极高。本文以springboot项目为例,模拟含有SQL注入攻击,并提供解决方法。部分内容整理自网络。 搭建项目 1.创建表tbuser DROP TABLE IF EXISTS `tbuser`; CREATE TABLE `tbuser`
阅读全文
摘要:问题描述 最近java程序去调用远程服务器接口时报错了: I/O error on POST request for “https://XXX.xyz/create”: sun.secu rity.validator.ValidatorException: PKIX path building fa
阅读全文
摘要:说明 最近公司项目被测试团队测试出有越权访问等安全问题,用的是这个Burpsuit工具,我想做软件测试的同学应该很熟悉。那么中间在模拟请求响应过程中发现返回的信息中文是乱码,搜索了一圈发现很多人提供的修改都不生效,这里记录一下生效的方案,希望各位少走弯路。 问题说明 解决方案 这里注意一定要选择UT
阅读全文
摘要:1.问题说明 请求IIS部署的网站可以发现响应头中暴露了IIS服务器名称/版本号。 漏洞等级:中 2.解决方案 想办法隐藏掉这部分信息。 2.1 下载并安装微软官方IIS扩展插件 URL Rewrite Module 2.1 URL Rewrite : The Official Microsoft
阅读全文
