1600/invoker/EJBInvokerServlet(存在命令执行) 修复方案: # 删除接口 # 设置中间件的访问控制权限,禁止web访问 /invoker 目录 http://www.cnblogs.com/firstdream/p/5977341.html…

升级OpenSSL修复高危漏洞Heartbleed 背景:          OpenSSL全称为Secure Socket Layer.是Netscape所研发.利用数据加密(Encryption)作技术保障在Internet上传输数据的安全.可确保数据在网络上的传输不会被窃听及截取. 当然,OpenSSL是一个强大的password库,我们在使用SSL协议的时候不一定非得採用OpenSSL,只是眼下基本上都是用的OpenSSL,由于它更安全.使用起来也更简单. 在最近互联网安全协议OpenS…

OpenSSL 心血(HeartBleed)漏洞 是openssl 在 2014-04-07 发布的重大安全漏洞(CVE-2014-0160)这个漏洞使攻击者可以从server内存中读取64 KB的数据,甚至获取到加密流量的密钥.用户的名字和password.以及訪问的内容. 主要影响版本号 OpenSSL 1.0.1 到 OpenSSL 1.0.1f 以及 OpenSSL 1.0.2 Beta1 不受此漏洞影响的 OpenSSL版本号信息: OpenSSL 1.0.1g 已修复该漏洞 ,以及g…

Windows安全攻略:教你完全修复系统漏洞 首发:http://safe.it168.com/a2012/0709/1369/000001369740.shtml 目前互联网上的病毒集团越来越猖狂,对用户的危害也愈演愈烈,大家要懂得保护自己的电脑不受侵犯,隐私不被盗取.记得前段时间一个网友咨询我,抱怨在用360打完补丁后,又安装迅雷软件,这时不厌其烦的提醒你系统还有多少补丁没有打,后来经过研究市面上好多软件都这样例如鲁大师.金山,卡卡等照样会不厌其烦的提醒你系统没有打的补丁.对普通用户而言都晕…

[AppScan]修复漏洞一:启用不安全的HTTP方法 (中) 漏洞背景:      “启用了不安全的 HTTP 方法”属于“中”危漏洞.漏洞描述是:根据APPSCAN的报告,APPSCAN通过OPTIONS请求,当响应中发现DELETE.SEARCH.COPY等方法为允许方法时,则认为是漏洞. 修改建议:可采用3种方法:1.禁用WebDAV功能,能根本解决.不引入新的不稳定因素2.使用URLSCAN禁用OPTIONS,实际没有真正禁用,但缩小了影响范围.URLSCAN可能有副作用.3.使用UR…

从Java的角度谈下文件下载漏洞的产生,然后到他的修复方案.这里我的修复方案是白名单,而没有采用黑名单的方式. 首先先看一段存在文件下载漏洞的代码code: HTML视图页面  download.html <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>Insert title here</title> </head> <bo…

漏洞挖掘中,说实话挖过最多的漏洞就属CSRF漏洞了,提交CSRF漏洞很多次,绕过CSRF防御进行攻击也有很多次.CSRF漏洞是一个很容易引发的问题,今天我从Java的角度来说下这个安全漏洞的修复方案. 这里不谈挖掘方式,只谈修复方案. 很多时候你很熟悉一种安全漏洞,但是涉及到的修复方案你只能大概讲下,具体到代码层你就束手无策了,这不是个优秀的白帽子行为. CSRF一般有两种修复方案 1.加随机性token或者是sign (足够随机,不可解密) 2.验证Referer! 今晚我的修复方案从2.验证…

补丁丁的新测试版修复了旧版在导出图片.分析文件结构时的内存漏洞. 对于希望表达对本软件感情的用户,可点击“帮助”菜单的“关于本程序及作者”命令,用微信扫描里面的二维码表达您的谢意. 新的测试版正在制作一个在一分钟内为文本型 PDF 文件生成书签的功能,目前尚未公开,可能在不久的日子内发布.请各位用户继续关注本博客.…

来源:TechTarget中国作者:Michael Heller翻译:张程程 OpenSSL项目团队为其密码库发布补丁以修复一个严重的漏洞(该漏洞可能允许攻击者解密HTTPS通信),同时强化对Logjam的防御. 解密攻击漏洞是在OpenSSL处理某些特定情况下DH密钥交换时发现的.通常,OpenSSL只使用所谓的“安全”质数,但在OpenSSL1.0.2中,生成参数文件的新方式将重新启用一个质数.理论上讲,攻击者就可以使用这个值来解密加密的安全通信. 不过有咨询师指出这种攻击很难执行,因为它需…

Discuz 3.4是目前discuz论坛的最新版本,也是继X3.2.X3.3来,最稳定的社区论坛系统.目前官方已经停止对老版本的补丁更新与升级,直接在X3.4上更新了,最近我们SINE安全在对其安全检测的时候,发现网站漏洞,该漏洞是由于用户登录论坛的时候调用的微信接口,导致可以进行任意登录,甚至可以登录到管理员的账号里去. 关于Discuz漏洞详情 漏洞的产生是在plugin文件夹下的wechat目录里的wechat.inc.php代码中的220-240行的代码里,代码如下: 我们可以看到代码…