Logo

  • 发布于:2020-03-19

    1

    SSL/TLS协议加密算法RC4存在漏洞...
    一、漏洞分析 攻击方法和模式 攻击者嗅探监听大量的SSL链接,可以判断第一个加密消息包含SSL的完成消息和HTTP请求,都是具有可预测的信息的。然后等待一个不变性弱密钥的链接到来,当获取到一个弱密钥链接时候就可以提取出LBS。当弱密钥使用的时候,明文和密钥会进行异或,攻击者可以看到生成的密文模式。 攻击者同样也进行DNS投毒,将所有的链接链接到一个恶意的主机,主机进行中间人攻击,能够有效地进...
    阅读 459 评论 0
  • 发布于:2020-03-17

    1

    Tomcat出现漏洞CVE-2020-1...
    1.Tomcat漏洞介绍 使用 Apache Tomcat 软件了 Java Servlet,JavaServer 页,Java 表达式语言和 Java 的 WebSocket 技术的一个开源实现。Java Servlet,JavaServer Pages,Java Expression Language和Java WebSocket规范是在Java Community Process下开发的 。...
    阅读 235 评论 0
  • 发布于:2020-03-16

    1

    HTTP安全返回头Strict-Tran...
    远程Web应用程序不设置Strict-Transport-Security响应标头。   HTTP严格传输安全(HSTS)强制执行到服务器的安全(HTTP over SSL / TLS)连接。这可以减少网络应用程序中的漏洞通过cookie和外部链接泄漏会话数据的影响,并抵御中间人攻击。 HSTS还禁止用户忽略SSL协商警告的能力。   解决办法 Nginx配置 /usr/lo...
    阅读 330 评论 0
  • 发布于:2020-03-16

    1

    HTTP响应头部使用X-Frame-Op...
    远程Web应用程序不设置X-Frame-Options响应头。   微软已经提出X-Frame-Options作为缓解点击劫持攻击的一种方法,并且已经在Chrome和Safari中实施。 X-Frame-Options HTTP响应头是用来确认是否浏览器可以在frame或iframe标签中渲染一个页面,网站可以使用此功能,来确保自己网站的内容没有被嵌到别人的网站中去,也从而避免了点击劫...
    阅读 180 评论 0
  • 发布于:2020-03-16

    1

    HTTP相应头X-Content-Opt...
    远程网络应用程序不设置X-Content-Options响应头。   X-Content-Options是Microsoft提出的一种缓解MIME类型攻击的方式,并且已经在Chrome和Safari中实现。   解决办法 Nginx配置 /usr/local/nginx/conf 里,打开nginx.conf add_header X-Content-Type-Options...
    阅读 215 评论 0
  • 发布于:2020-03-16

    1

    HTTP响应头使用X-XSS-Prote...
    HTTP X-XSS-Protection 响应头是Internet Explorer,Chrome和Safari的一个功能,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。虽然这些保护在现代浏览器中基本上是不必要的,当网站实施一个强大的Content-Security-Policy来禁用内联的JavaScript ('unsafe-inline')时, 他们仍然可以为尚...
    阅读 342 评论 0