微信搜索superit|邀请体验：大数据, 数据管理、OLAP分析与可视化平台 | 赞助作者：赞助作者

分类：漏洞修复

漏洞危害列表

高危 1. sql注入有回显的sqli（and or union）真假页面注入-无回显延时注入错误信息注入 cookie 注入 sql错误信息泄漏（中危） 2.系统命令执行 3.代码注入 php/jsp/asp 代码注入 4.XXE-XML实体注入 5.CRLF注入 6....

4年前 (2020-10-12) 6℃

AWVS：商业扫描器，有破解版。行业口碑最好的web扫描器。准确性最高、爬虫能力最强、通用漏洞覆盖类型广。windows版本有ui界面，Linux版本有web界面。优点：有api可以下任务、导出报表，扫描速度快，准确性高，可以自定义插件（但是语法晦涩教...

4年前 (2020-10-12) 7℃

Spring Boot Actuator 开放 Spring Boot 提供了安全限制功能。比如要禁用/env接口，则可设置如下： endpoints.env.enabled= false 如果只想打开一两个接口，那就先禁用全部接口，然后启用需要的接口： ...

4年前 (2020-10-12) 9℃

Redis未授权访问 (1)漏洞详情 Redis因配置不当可以导致未授权访问，被攻击者恶意利用。在特定条件下，如果Redis以root身份运行，黑客可以给root账户写入SSH公钥文件，直接通过SSH登录受害服务器，可导致服务器权限被获取和数据删除、泄露或加密勒索事件发生，严重...

4年前 (2020-10-12) 8℃

Marathon 未授权访问配置防火墙，限定可访问的源 ip。例如可以使用 iptables 利用 nginx 配置流量转发并设置 basic auth。低敏感文件泄露删除文件检查配置文件，禁止此文件能被访问跨站脚本攻击(...

4年前 (2020-10-12) 7℃

跨站脚本攻击(XSS, Cross Site Script) (1)漏洞详情通常指黑客通过“HTML注入”篡改了原有网页，插入恶意脚本，从用户客户端发起的一种攻击。 XSS按效果的不同可以分为3种： 1. 反射型XSS：页面把攻击者输入的JS脚本直接回显在页面或源码中，需要诱...

4年前 (2020-10-12) 6℃