javaee_ssh的专栏

1、已解密的登陆请求严重性:高类型:应用程序级别测试WASC 威胁分类:应用程序隐私测试CVE 标识:不适用CWE 标识:523安全风险:可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息负责安全方面的工程师提供了两种方案供我们选择一、通过SSL传

H 查看危险字符注入的可能解决方案 TOC该任务修复的问题类型■ SQL 盲注一般有多种减轻威胁的技巧：[1] 策略：库或框架使用不允许此弱点出现的经过审核的库或框架，或提供更容易避免此弱点的构造。[2] 策略：参数化如果可用，使用自动实施数据和代码之间的分离的结构化机制。这些机制也许能够自动提供相关引用、编码和验证，而不是依赖于开发者在生成输出的每一处提供此能

主要是通过在url或参数中添加脚本如：1、URL中添加alert(1)2、参数value=。添加一个过滤器对特殊字符进行拦截

try { log.debug("sessionId1 = " + request.getSession().getId()); request.getSession().invalidate(); log.debug("sessionId2 = " + request.getSession(true).getId()); if (request.getCookies() != nul

背景：安全公司进行漏洞扫描，