代码漏洞扫描描述Cross Site History Manipulation解决办法[dongcoder.com]
2024-10-11 23:57:03
代码漏洞扫描
漏洞描述:Cross Site History Manipulation
简要描述:产品的行为差异或发送不同的反应,在某种程度上暴露了与安全性相关的产品状态,例如特定的操作
是否成功。
可能的漏洞消除办法:
区分你的系统"安全"的区域,这些区域可以明确地绘制信任边界。不允许敏感数据到信任边界的外面
,和安全区域外的空间交互时需要时刻小心。
为错误条件设置通用的响应。这个错误页面不应该透露有关成功或失败的敏感性操作的信息。例如,
登录页面不应该确认登录是正确的和密码是错误的。攻击者想通过尝试输入随机帐户名称来猜测正确
账户名其中的一些。确认帐户存在将使登录页面更容易受到强力攻击。
解决办法:
验证成功后,有页面跳转,这时给页面加一个随机数,如下:
Response.Redirect("dongcoder.aspx?rand=" + Common.getRandValue());
其中getRandValue方法如下,
public static string getRandValue()
{
string randValue = "";
using (RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider())
{
byte[] data = new byte[4];
rng.GetBytes(data);
Int32 value = BitConverter.ToInt32(data, 0);
if (value < 0) value = -value;
randValue = value.ToString();
}
return randValue;
}
需要添加引用
using System.Security.Cryptography;
这里用了另外生成随机数的方法,如果使用常用Random方法则还会继续爆出漏洞。
摘自:代码漏洞扫描描述Cross Site History Manipulation解决办法
最新文章
- 了解JavaScript 面向对象基础 & 原型与对象
- Tomcat搭建
- phpstorm 软件
- ubuntu 远程开机
- iOS源码之OC相册,可以循环查看图片
- python--flask使用
- CentOS生产机器禁止ROOT远程SSH登录
- 【转】为什么我说 Android 很糟糕
- jquery 手机 图片切换 例子 网址
- DOL版USB Loader的下载和运行
- TransactionScope使用说明 【转】
- 学习笔记--C#特性Attribute(一)
- png的格式及像素存储分析
- String "+" 的补充说明---行粒度
- nginx location配置(URL)
- javascript 命名空间与运用(前端基础系列)
- 使用容器编排工具docker swarm安装clickhouse多机集群
- gitbook 入门教程之实用插件(新增3个插件)
- 压力(性能)测试及jmeter的使用
- python读写修改配置文件(ini)