摘要: 本期主题为跨站脚本漏洞的相关介绍。 一、什么是跨站脚本漏洞? 从用户控制的输入到输出之前,软件没有对其进行过滤或没有正确过滤,这些输出用作向其他用户提供服务的网页。 二、跨站脚本(XSS)漏洞通常在哪些情况下发生? 1、不可信数据进入网络应用程序,通常通过网页请求; 2、网络应用程序动态地生成一个带 阅读全文
posted @ 2021-05-25 17:07 中科天齐软件原生安全 阅读(338) 评论(0) 推荐(0) 编辑
摘要: 本期主题为使用不安全的随机值的相关介绍。 一、什么是使用不安全的随机值? 软件依赖于不可预测的数值使用了不充分的随机数导致的安全性降低。 产生原因:计算机是一种按照既定算法运行的机器,因此不可能产生真正的随机性。伪随机数生成器 (PRNG) 近似于随机算法,始于一个能计算后续数值的种子。 PRNG包 阅读全文
posted @ 2021-05-25 17:06 中科天齐软件原生安全 阅读(744) 评论(0) 推荐(0) 编辑
摘要: 本期主题为违规的对象模型:对象只定义了Equals和Hashcode方法之一漏洞的相关介绍。 一、什么是“违规的对象模型:对象只定义了Equals和Hashcode方法之一”的漏洞? 也就是同一个对象没有同时包含equals和hashcode。因为Java对象需要遵守许多与相等相关的约束条件。其中一 阅读全文
posted @ 2021-05-25 14:57 中科天齐软件原生安全 阅读(109) 评论(0) 推荐(0) 编辑