精华内容
下载资源
问答
  • web日志信息文件

    热门讨论 2015-12-02 14:28:28
    文件是web日志,记录了一个网站(粉丝日志网站)一天内的访问记录的日志信息。 我的博客:http://blog.csdn.net/u010156024/article/details/50147697 详细应用了该日志文件进行hadoop下的挖掘分析。欢迎访问。
  • 1、安全问题说明 使用Nginx提供服务的产品,经过安全扫描工具扫描后报出两个安全漏洞 1.1、安全漏洞:Web服务器HTTP头信息公开 ...1.2、安全漏洞:Web服务器错误页面信息泄露 风险级别:中风险 漏洞...

    1、安全漏洞说明

    使用Nginx提供服务的产品,经过安全扫描工具扫描后报出两个安全漏洞

    1.1、安全漏洞:Web服务器HTTP头信息公开

    风险级别:中风险
    漏洞个数:4
    漏洞详情:

    端口协议服务
    443TCPWWW
    80TCPWWW
    8000TCPWWW
    8080TCPWWW

    1.2、安全漏洞:Web服务器错误页面信息泄露

    风险级别:中风险
    漏洞个数:4
    漏洞详情:

    端口协议服务
    443TCPWWW
    80TCPWWW
    8000TCPWWW
    8080TCPWWW

    2、漏洞分析

    1、每个漏洞的个数有四个,就是对应漏洞详情中的4个端口
    2、产品使用Nginx提供的服务,Nginx通过虚拟机方式以不同端口提供服务

    结论:Nginx有4个虚拟机存在安全漏洞,对应的端口分别是443、80、8000和8080

    3、漏洞解决

    3.1、找到漏洞端口对应的Nginx虚拟机配置文件

    这些配置文件的路径取决于nginx的配置,可能位于/etc/nginx目录下,也可能位于其他的目录下,可以通过搜索的方式查找。
    以漏洞详情中的4个端口号作为关键字查找

    # grep -rE "443|80|8080|8000" /etc
    # grep -rE "443|80|8080|8000" /opt
    

    nginx虚拟机配置文件格式一般有如下字段

    server {
        listen 8080...
    }
    

    可以做区分

    3.2、修改虚拟机配置文件

    3.2.1、修改方法

    参考nginx官网
    http://nginx.org/en/docs/http/ngx_http_core_module.html#server_tokens

    Syntax:	server_tokens on | off | build | string;
    Default:	
    server_tokens on;
    Context:	http, server, location
    Enables or disables emitting nginx version on error pages and in the “Server” response header field.
    
    The build parameter (1.11.10) enables emitting a build name along with nginx version.
    
    Additionally, as part of our commercial subscription, starting from version 1.9.13 the signature on error pages and the “Server” response header field value can be set explicitly using the string with variables. An empty string disables the emission of the “Server” field.
    

    3.2.2、配置文件修改

    8080配置文件

    server {
        listen 8080...
    }
    

    增加一行

    server {
        listen 8080...
        server_tokens off;
    }
    

    443配置文件

    server {
        listen 443...
    }
    

    增加一行

    server {
        listen 443...
        server_tokens off;
    }
    

    8000配置文件

    server {
        listen 8000...
    }
    

    增加一行

    server {
        listen 8000...
        server_tokens off;
    }
    

    80配置文件

    server {
        listen 80...
    }
    

    增加一行

    server {
        listen 80...
        server_tokens off;
    }
    

    3.3、重启ngnix服务

    # systemctl restart nginx
    
    展开全文
  • Web4.0中web.xml头信息

    万次阅读 2018-05-13 18:55:22
    Web4.0: <?xml version="1.0" encoding="UTF-8"?> <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee" xmlns:xsi...

    Web4.0:

    <?xml version="1.0" encoding="UTF-8"?>
    <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
             xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
              http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
             version="4.0">
    </web-app>


      PS:之所以放上一个Web4.0版本的开头,实则是遇到了一个奇怪的BUG。在SpringMVC中JSP页面通过${message}始终无法获取这个变量在Controller传递过来的值。找了很久,偶然发现问题在于web.xml文件中声明的Web2.3不支持如上的变量引用,所以就创建了Web4.0的项目,将其开头声明替换成Web4.0的就解决了。把web.xml中的开头放出来,以备日后使用。

    展开全文
  • Tomacat错误信息...Tomcat在404,405,403等错误的时候,会有默认的错误信息输出到页面。这个时候,黑客们,根据服务器的版本信息,可以了解到该版本服务器的已知漏洞,发起攻击,造成javaWeb应用的信息安全...

    Tomacat错误信息(服务器版本号)泄露(低危险) 

    HTTP头信息泄露-隐藏web服务器banner信息

    一些黑客会通过该软件暴露出来的信息针对性的入侵,为了服务器的安全这些信息一定要及时关闭。Tomcat在404,405,403等错误的时候,会有默认的错误信息输出到页面上。这个时候,黑客们,根据服务器的版本信息,可以了解到该版本服务器的已知漏洞,发起攻击,造成javaWeb应用的信息安全问题。

    Tomcat报错页面泄漏Apache Tomcat/6.0.45相关版本号信息,是攻击者攻击的途径之一。因此实际当中建议去掉版本号信息。

    方式1. 去掉默认的版本和引擎信息
         参考:http://blog.51cto.com/chicozy/1878453

    方式 2. 为每个应用提供统一的自定义404,403,405,500等错误信息跳转页面
        参考:https://blog.csdn.net/qq_35661171/article/details/78854754

                   https://blog.csdn.net/JuncaiLiao/article/details/84540263 

                   https://blog.csdn.net/u011313218/article/details/78175411 

     方式3.去掉ServerInfo.properties文件的版本信息

    1、进入到tomcat/lib目录下,用电脑自带解压软件打开catalina.jar  进入到\org\apache\catalina\util目录下
    2、编辑ServerInfo.properties文件,编辑最后三行,去掉版本号等信息
    3、改完后自动跳出提示,点击“是”自动更新catalina.jar重新打包。

     

    http://blog.51cto.com/chicozy/1878453

     

    展开全文
  • 简单java web学生信息管理系统

    千次下载 热门讨论 2015-07-30 09:52:37
    本人是新手,也刚开始java web的学习,就在网上找了个例子练手,是一个简单的jsp+servler的学生管理系统。网址:http://www.javazhijia.com/ym/web/193.html导入到eclipse有点报错,我自己做了一点修改,将oracle...
  • Web安全之信息收集

    万次阅读 2020-05-27 16:05:51
    在后缀名下加上/new,很多网站可能之前是由其他程序搭建的网站,在弃用之后,而之前目录仍然保留,就可能得到一些关键信息,当然这个new之类的是随便取名,我们通常使用一些目录扫描程序如御剑等,当其中某个页面和...

    (我相信自己,我热爱生活)

    Web安全

    利用端口扫描

    在测试中端口扫描可以让我们发现更多机会,利用工具Nmap
    图
    像这样配置以后我们可以得到该域名下的端口号,便于我们之后的操作
    在这里插入图片描述

    基于web目录结构

    在后缀名下加上/new,很多网站可能之前是由其他程序搭建的网站,在弃用之后,而之前目录仍然保留,就可能得到一些关键信息,当然这个new之类的是随便取名,我们通常使用一些目录扫描程序如御剑Dirmap等,当其中某个页面和主站不一样我们可能在里面获取到一些获取漏洞的机会
    附:Dirmap链接(来自freebuf)

    基于web域名结构

    Layer子域名挖掘机,不带www.
    利用搜索引擎site:

    基于服务器系统漏洞

    使用工具Nessus,号称是世界上最流行的漏洞扫描程序,通常包括成千上万的最新的漏洞,各种各样的扫描选项,及易于使用的图形界面和有效的报告.
    在这里插入图片描述
    一般用Advanced scan就够了

    基于中间件平台漏洞

    可以看一下freebuf页面点我直达

    今天就学习到这里,加油鸭!

    展开全文
  • 漏洞修复:web应用服务器版本信息泄露方案一:建立错误机制,不要把真实的错误反馈给访问者方案二:Tomcat服务器隐藏版本信息 Web服务器未能正确处理异常请求导致Web服务器版本信息泄露,攻击者收集到服务器信息后...
  • Web是大家所熟知的,百度的解释为:web(World Wide Web)即全球广域网,也称为万维网,它是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统。 计算机专业的学习者对Web这个概念并不...
  • Web是大家所熟知的,百度的解释为:web(World Wide Web)即全球广域网,也称为万维网,它是一种基于超文本和HTTP的、全球性的、动态交互的、跨平台的分布式图形信息系统。 计算机专业的学习者对Web这个概念并...
  • Web服务器HTTP头信息公开 漏洞

    千次阅读 2020-07-16 19:41:05
    远程Web服务器通过HTTP标头公开信息 远程Web服务器发送的HTTP标头公开了可以帮助攻击者的信息,例如Web服务器使用的服务器版本和语言。 解决办法 修改Web服务器的HTTP头以不公开关于底层Web服务器...
  • java web上下文理解

    万次阅读 多人点赞 2018-03-01 17:34:55
    web上下文可以看成web应用的运行环境,一般用context名字来修饰,里面保存了web应用相关的一些设置和全局变量2.ServletContext,是一个全局的储存信息的空间,服务器开始,其就存在,服务器关闭,其才释放。...
  • 第一次接触到web api,发现这个东西是REST风格的:---- 微软的web api是在vs2012的mvc4项目绑定发行的,它提出的web api是完全基于RESTful标准的,完全不同于之前的(同是SOAP协议的)wcf和webService,它是简单...
  • Web容器

    万次阅读 2016-09-25 10:59:22
    1.Java Web相关概念 1.1中间件 1.2容器 2.Web容器的作用 主要参考文章: http://www.cnblogs.com/yezhaohui/archive/2013/05/21/3091931.html http://www.cnphp6.com/archives/51094 好记性不如烂笔头,从...
  • C# WebApi 返回详细错误信息

    千次阅读 2019-03-26 21:09:59
    笔者在写一个 WebApi 项目时,出现 500 错误时访问 API 地址总是返回 An error has occurred. 却无法看到详细错误信息,导致无法调试,本文通过修改全局设置让发生错误时显示详细信息
  • Web -查询表中所有的用户信息并展示在页面

    万次阅读 多人点赞 2018-10-17 20:48:23
    例: 在浏览器中输入地址之后 , 查询出所有的用户信息 ! 1.准备工作. 1.web - &gt; WEB-INF - &gt; lib包下导入jia包. 2.创建数据库和表 , 初始化表中数据 . 3.将c3p0工具类 , 放在src下 , 修改表名. 4.编写...
  • web上下文(Servlet context),spring下文(WebApplication Context),springmvc下文(mlWebApplicationCont)之间区别.下文:可以简单的理解为容器,配置文件web上下文目标对象是所有web应用,spring下文目标...
  • web服务器、Web中间件和Web容器的区别

    万次阅读 多人点赞 2018-11-25 20:36:21
    我们经常会被Web服务器、Web容器和Web中间件这三个概念搞混。因为我们常见的很多网站要么是由IIS搭建,要么是由Apache、Tomcat、Ngnix搭建。所以,我们会把他们都叫成是Web服务器,因为他们都提供了Web服务,可以让...
  • web渗透--1--web安全原则(

    万次阅读 多人点赞 2018-09-10 22:25:32
    web安全原则 安全应该是系统开发之初就考虑的问题。换句话说,安全是一个成熟系统的必备特性。在项目说明中不谈安全,并非因为不需要,而是因为安全都是隐藏的。 安全性设计中的关键问题是挖掘出系统存在的安全...
  • web: https://download.csdn.net/download/qq_35583089/10537585 sdk: https://download.csdn.net/download/qq_35583089/10537610 大家自己下载一下吧。 最近在公司需要在项目里集成海康威视的摄像头,刚开始的...
  • 比方说我现在访问:http://localhost:8080/pages/xx.jsp,应该会报404,没有该页面,但是会显示出所用服务器的信息:所以为了避免产生此类漏洞个,应该对错误进行处理,在web.xml添加对相应的错误页面:&lt;!-- 默认...
  • 关于web应用下文Context

    万次阅读 2009-06-04 12:10:00
    关于web应用下文Context 很多朋友都对Context不太了解,他们说"项目中没看到这个对象啊""但是老是听人提起Context","经常看到ServletContext,PageContext.EJBContext, 还有Spring里面的ApplicationContext等等...
  • 如上在出错页面包括两部分信息: 页头显示JBossWeb的版本信息页面中显示JBossWeb相关的版本信息 在实际的生产中会造成安全隐患,比如黑客知道服务器是JBoss,从而搜寻JBoss相关的安全漏洞来攻击服务。本
  • Web基础(三)Python Web

    千次阅读 多人点赞 2018-11-14 19:11:49
    文章目录Python Web基础1. WSGI1.1 概述1.2 实现原理1、WSGI Server/gateway2、WSGI Application3、WSGI MiddleWare1.3 测试 WSGI服务器代码简析1.4 实现WSGI服务器1.5 生产环境中的Web服务器[Gunicorn]...
  • web开发级Centos实战()

    万人学习 2016-05-31 15:40:44
    web开发角度出发讲解基于Centos的实战知识点,从原理了解web开发的精髓。其的知识点和课课都是干货的讲课风格,小伙伴们懂得。如果你喜欢我们的系列,务必不要错过这门课。本课程特别适合有基础的web程序员
  • 隐藏服务器header与web软件版本信息

    千次阅读 2019-01-15 10:45:24
    而这些HTTP头是用于给Web服务器提供一些额外信息以便于处理请求。比如说吧。如果浏览器支持压缩功能,则浏览器会发送Accept-Encoding HTTP头,这样一来服务器便知道浏览器可以使用哪种压缩算法。还有任何在上一次...
  • 语义Web试图让Web上信息具有语义,能够被机器理解,使得Web上信息的获取更加智能快捷。本文在全面阐述语义Web基本概念和体系结构的基础,研究和讨论了语义Web构建过程中的关键技术,包括XML、RDF和OWL,最后对...
  • Web.xml详解

    万次阅读 多人点赞 2015-01-28 13:48:53
    这篇文章主要是综合网上关于web.xml的一些介绍,希望对大家有所帮助,也欢迎大家一起讨论。 ---题记 1.web.xml加载过程(步骤) 首先简单讲一下,web.xml的加载过程。当启动一个WEB项目时,容器包括(JBoss、...
  • 在Hbase 官方文档中发现查看 hbase节点信息web ui端口是 12.4.1.1. 主服务器Web接口 主服务器启动了一个缺省端口是 60010的web接口。 The Master web UI lists created tables and their definition (e....
  • WEB简介

    万次阅读 多人点赞 2018-09-01 18:23:51
    早期的web应用主要是静态页面的浏览,这些静态页面使用HTML语言编写,放在服务器,用户使用浏览器通过HTTP协议请求服务器web页面,服务器web服务器软件接受到用户发送的请求后,读取请求URI所标识的资源,...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,978,989
精华内容 791,595
关键字:

web上的信息