惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

OSCHINA 社区最新新闻
OSCHINA 社区最新新闻
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
Security Archives - TechRepublic
Security Archives - TechRepublic
N
News and Events Feed by Topic
Last Week in AI
Last Week in AI
博客园 - 司徒正美
The GitHub Blog
The GitHub Blog
O
OpenAI News
The Last Watchdog
The Last Watchdog
T
The Blog of Author Tim Ferriss
M
MIT News - Artificial intelligence
P
Proofpoint News Feed
Forbes - Security
Forbes - Security
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
有赞技术团队
有赞技术团队
Jina AI
Jina AI
GbyAI
GbyAI
V
Vulnerabilities – Threatpost
L
LangChain Blog
Vercel News
Vercel News
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
AI
AI
博客园 - 聂微东
W
WeLiveSecurity
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Scott Helme
Scott Helme
罗磊的独立博客
Martin Fowler
Martin Fowler
S
Security Affairs
T
Tor Project blog
Recent Announcements
Recent Announcements
F
Fortinet All Blogs
美团技术团队
C
Cisco Blogs
PCI Perspectives
PCI Perspectives
Recent Commits to openclaw:main
Recent Commits to openclaw:main
S
Security @ Cisco Blogs
T
Threat Research - Cisco Blogs
A
About on SuperTechFans
Cisco Talos Blog
Cisco Talos Blog
K
KPMG report finds enterprise disconnect between AI and its ROI | CIO
I
Intezer
B
Blog
WordPress大学
WordPress大学
I
InfoQ
G
Google Developers Blog
www.infosecurity-magazine.com
www.infosecurity-magazine.com
V
V2EX
P
Privacy & Cybersecurity Law Blog
雷峰网
雷峰网

博客园 - weekzero

百度编辑器ueditor批量上传图片或者批量上传文件时,文件名称和内容不符合,错位问题 iis重写模块实现程序自动二级域名,微软提供的URL重写2.0版本适用IIS以上 借助微软提供的url重写类库URLRewriter.dll(1.0)实现程序自动二级域名,域名需要泛解析 AspNetPager控件报错误: Syntax error, unrecognized expression: input#ctl00$ContentPlaceHolder1$Aspnetpager1_input问题解决[摘] 精准定位才能赢得人心 IIS7.5打开GZip压缩,同时启用GZip压缩JS/CSS文件的设置方法 c#变量缺少using引用,如何快速加上using,加Using的快捷键 chart.js插件生成折线图时数据普遍较大时Y轴数据不从0开始的解决办法 要用于尝试,广东移动间接实现“流量不清零” jquery中ajax在firefox浏览器下“object XMLDocument”返回结果的解决办法 mvc中Url.RouteUrl或者Html.RouteLink实现灵活超链接,使href的值随路由名称或配置的改变而改变 mvc中多参数URL会很长,首次加载不传参数让url很短,路由规则实现方法 《舌尖上的中国》第二季今日首播了,天猫食品也跟着首发,借力使力 Ubuntu 14.04 (Trusty Tahr) LTS发布,附下载地址,各种镜像 System.Data.OleDb操作access数据库类 大数据量下,分页的解决办法 winform设置button的边框颜色,或取消边框颜色,不显示边框 winform里操作打开在panel里的form窗体,子窗体操作同级子窗体或者父窗体的方法 cWeb开发框架,基于asp.net的cWeb应用开发平台介绍(二)
代码漏洞扫描描述Cross Site History Manipulation解决办法[dongcoder.com]
weekzero · 2019-01-22 · via 博客园 - weekzero

代码漏洞扫描

漏洞描述:Cross Site History Manipulation

简要描述:产品的行为差异或发送不同的反应,在某种程度上暴露了与安全性相关的产品状态,例如特定的操作
是否成功。
可能的漏洞消除办法:

区分你的系统"安全"的区域,这些区域可以明确地绘制信任边界。不允许敏感数据到信任边界的外面
,和安全区域外的空间交互时需要时刻小心。
为错误条件设置通用的响应。这个错误页面不应该透露有关成功或失败的敏感性操作的信息。例如,
登录页面不应该确认登录是正确的和密码是错误的。攻击者想通过尝试输入随机帐户名称来猜测正确
账户名其中的一些。确认帐户存在将使登录页面更容易受到强力攻击。

解决办法:

验证成功后,有页面跳转,这时给页面加一个随机数,如下:

Response.Redirect("dongcoder.aspx?rand=" + Common.getRandValue());

其中getRandValue方法如下,

public static string getRandValue()
    {
        string randValue = "";
        using (RNGCryptoServiceProvider rng = new RNGCryptoServiceProvider())
        {
            byte[] data = new byte[4];
            rng.GetBytes(data);
            Int32 value = BitConverter.ToInt32(data, 0);
            if (value < 0) value = -value;
            randValue = value.ToString();
        }
        return randValue;
    }

需要添加引用

using System.Security.Cryptography;

这里用了另外生成随机数的方法,如果使用常用Random方法则还会继续爆出漏洞。

摘自:代码漏洞扫描描述Cross Site History Manipulation解决办法