(一)简述:早上收到nginx最新漏洞的通知,Nginx官方发布最新的安全公告,在Nginx范围过滤器中发现了一个安全问题(CVE-2017-7529),通过精心构造的恶意请求可能会导致整数溢出并且不正确处理范围,从而导致敏感信息泄漏。当使用Nginx标准模块时,如果文件头从缓存返回响应,..
分类:
其他好文 时间:
2017-07-18 11:59:10
阅读次数:
259
2017年7月11日,为了修复整数溢出漏洞(CVE-2017-7529), Nginx官方发布了nginx-1.12.1 stable和nginx-1.13.3 mainline版本,并且提供了官方patch。 当使用Nginx并且开启缓存功能时,攻击者可以构造特定header头字段,能越界读取到缓 ...
分类:
其他好文 时间:
2017-07-15 16:43:54
阅读次数:
3106
两种常用的HTTP请求方式:post和get get:从指定的资源进行请求。数据长度有限制(2048个字符)可被缓存、可被保留在浏览器历史记录中,安全性较差。发送敏感信息如密码时不适用。 post:向指定的资源提交要被处理的数据。数据长度无限制、不可被缓存,不可保存在浏览器历史记录中,安全性较高。 ...
分类:
Web程序 时间:
2017-07-13 17:14:38
阅读次数:
224
Android常见漏洞 漏洞名称: Log敏感信息泄露 漏洞描述: 程序运行期间打印了用户的敏感信息,造成泄露 修改建议: 建议禁止隐私信息的log 漏洞名称: web https校验错误忽略漏洞 漏洞描述: 漏洞可导致中间人攻击 修改建议: 建议不要忽略ssl认证错误 漏洞名称: sql注入漏洞 ...
分类:
移动开发 时间:
2017-07-12 16:19:56
阅读次数:
351
display_errors 错误回显,一般常用语开发模式,但是很多应用在正式环境中也忘记了关闭此选项。错误回显可以暴露出非常多的敏感信息,为攻击者下一步攻击提供便利。推荐关闭此选项。 display_errors = On 开启状态下,若出现错误,则报错,出现错误提示 dispaly_errors ...
分类:
其他好文 时间:
2017-07-08 13:16:44
阅读次数:
165
在2012年的时候,由于要照应新人对Linux以及相关服务的了解和学习,我特地把当时我们创业项目的全部服务搭建过程写成了一篇文档,能够让他们学习而且有所參照。以下就以这篇文档为底稿,进行一些改动和敏感信息的删除,分享给大家,希望对大家故意。 说明,下面的Rafael是我的英文名。应用是当前已经改变方 ...
分类:
系统相关 时间:
2017-07-02 17:49:26
阅读次数:
314
MySQL 5.7 SSL连接最佳实战 1. 背景 * 在生产环境下,安全总是无法忽视的问题,数据库安全则是重中之重,因为所有的数据都存放在数据库中 * 当使用非加密方式连接MySQL数据库时,在网络中传输的所有信息都是明文的,可以被网络中所有人截取,敏感信息可能被泄露。在传送敏感信息(如密码)时, ...
分类:
数据库 时间:
2017-06-30 01:02:45
阅读次数:
189
Autocomplete HTML Attribute Not Disabled for Password Field 漏洞详细Web系统被识别到支持自动完成功能,这样通过浏览器可以获取到敏感信息。 ps:需要根据实际需求,人为判断漏洞是否需要修复。项目中有时会用到自动补全查询,就像Google搜索 ...
分类:
其他好文 时间:
2017-06-29 18:03:17
阅读次数:
202
1.背景*在生产环境下,安全总是无法忽视的问题,数据库安全则是重中之重,因为所有的数据都存放在数据库中*当使用非加密方式连接MySQL数据库时,在网络中传输的所有信息都是明文的,可以被网络中所有人截取,敏感信息可能被泄露。在传送敏感信息(如密码)时,可以采用SSL连接..
分类:
数据库 时间:
2017-06-27 08:15:28
阅读次数:
281
1、问题描述 mvc从一个路径获取所有的图片信息,ajax方法如下: function getimages(day) { var year = $("#selYear").val(); var month = $("#selMonth").val(); selday = day; var date ... ...
分类:
Web程序 时间:
2017-06-25 12:07:09
阅读次数:
1666
