起名字什么的太麻烦了

起名字什么的太麻烦了

安全测试又来了。。。。。

第一次 登录请求 要求登陆过一次不能重复登录 跟测试杠了好久 还是按照人家要求改了。

这次 安全测试更多的都是一些 遗漏的问题 开发环境都没配置 加上就好了。

1.使用普通用户yscs1去执行字典管理的POST修改请求,可成功修改,故存在垂直越权漏洞。

解决方案: spring security 和shiro加上权限角色校验即可。

2.未授权访问漏洞

解决方案: 测试要求静态资源也不能访问。权限框架加上拦截就行

3.发现系统存在缓慢HTTP POST DoS攻击漏洞(Slow HTTP Denial Of Service Attack)。

解决方案:用的tomcat  。测试用了个工具模拟缓慢请求。修改tomcat 连接数和 connectionTimeOut就行 改短点。实际上应该 加上 ip和超时限制。

4.跨站请求访问漏洞

解决方案:1、请求中增加token验证。2、验证请求头中的referer。  没别的 加拦截器 、过滤器校验就行

5.发现系统cookie未设置httponly标签

解决方案:设置cookie 的httponly属性为true.

03-09 04:53