安全测试又来了。。。。。

第一次 登录请求 要求登陆过一次不能重复登录 跟测试杠了好久 还是按照人家要求改了。

这次 安全测试更多的都是一些 遗漏的问题 开发环境都没配置 加上就好了。

1.使用普通用户yscs1去执行字典管理的POST修改请求，可成功修改，故存在垂直越权漏洞。

解决方案： spring security 和shiro加上权限角色校验即可。

2.未授权访问漏洞

解决方案： 测试要求静态资源也不能访问。权限框架加上拦截就行

3.发现系统存在缓慢HTTP POST DoS攻击漏洞（Slow HTTP Denial Of Service Attack）。

解决方案：用的tomcat  。测试用了个工具模拟缓慢请求。修改tomcat 连接数和 connectionTimeOut就行 改短点。实际上应该 加上 ip和超时限制。

4.跨站请求访问漏洞

解决方案：1、请求中增加token验证。2、验证请求头中的referer。  没别的 加拦截器 、过滤器校验就行

5.发现系统cookie未设置httponly标签

解决方案：设置cookie 的httponly属性为true.