經集團安全部掃瞄系統存在未授權可以獲取介面資訊
系統改造如下:
總體方案: 新增***,進行介面的請求狀態的攔截判斷(登入/註冊等請求進行攔截排除)
版本一系統pom檔案spring-mvc版本不變的情況下,配置properties對請求攔截排除
}在commonresourse.properties新增請求攔截排除,配置攔截請求路徑,多個請求用","分隔
#登入態忽略請求
loginstatusignore=/ehrlogin.htm,/ehrnologin.htm,/in/modehrpassword.htm,/getvalidcode.htm,/ehrregister.htm
springmvc***配置
版本二
系統pom檔案spring-mvc版本更新至3.2及以上,用mvc標籤排除攔截的請求(排除標籤3.2版本開始支援)
}springmvc***配置
改完檢查:
1.未登入是否可以獲取介面資訊
2排除攔截請求是否生效
CSRF跨站請求偽造 漏洞修復
csrf cross site request forgery 中文名稱 跨站請求偽造,也被稱為 one click attack session riding,縮寫為 csrf xsrf。你這可以這麼理解csrf攻擊 攻擊者盜用了你的身份,以你的名義傳送惡意請求。csrf能夠做的事情包括 以你名義...
CSRF漏洞(原理 DVWA實驗 修復建議)
目錄 1 介紹csrf漏洞 2 csrf漏洞的原理 3 dvwa csrf實驗過程 3.1 low級別 3.2 medium級別 相關函式說明 3.3 high級別 3.4 impossible級別 4 csrf漏洞修復建議 csrf cross site request forgery,跨站請求偽...
關於Redis未授權訪問漏洞修復
漏洞概述 redis 預設情況下,會繫結在 0.0.0.0 6379,導致redis服務暴露到公網上。如果在沒有開啟認證並且在任意使用者可以訪問目標伺服器的情況下,從而可以未授權訪問redis服務,進一步可進行資料增刪改查,甚至獲取伺服器許可權等惡意操作。風險等級 高風險 漏洞風險 主機被遠端控制,...