安全测试又来了。。。。。
第一次 登录请求 要求登陆过一次不能重复登录 跟测试杠了好久 还是按照人家要求改了。
这次 安全测试更多的都是一些 遗漏的问题 开发环境都没配置 加上就好了。
1.使用普通用户yscs1去执行字典管理的POST修改请求,可成功修改,故存在垂直越权漏洞。
解决方案: spring security 和shiro加上权限角色校验即可。
2.未授权访问漏洞
解决方案: 测试要求静态资源也不能访问。权限框架加上拦截就行
3.发现系统存在缓慢HTTP POST DoS攻击漏洞(Slow HTTP Denial Of Service Attack)。
解决方案:用的tomcat 。测试用了个工具模拟缓慢请求。修改tomcat 连接数和 connectionTimeOut就行 改短点。实际上应该 加上 ip和超时限制。
4.跨站请求访问漏洞
解决方案:1、请求中增加token验证。2、验证请求头中的referer。 没别的 加拦截器 、过滤器校验就行
5.发现系统cookie未设置httponly标签
解决方案:设置cookie 的httponly属性为true.