经过漫长时间的迭代更新,内容从一开始的碎片化网罗搜集,到排版与整合划分,再到学习与实践验证,最后摒弃初始,用自己的语言与实践结论通俗的将它展现出来。强化知识技能的同时也为读者带来更好的阅读体验。
本篇介绍了以下代码安全问题:
| 编号 | 漏洞 |
|---|---|
| 1 | 固定的Session ID |
| 2 | 邮件服务器连接加密 |
| 3 | 服务器身份验证禁用 |
| 4 | Javascript劫持 |
| 5 | Bean操纵 |
| 6 | HTML清除策略 |
| 7 | 缺少表单验证 |
固定的Session ID漏洞会在以下情况中出现:
(1)当Web应用程序验证时,没有释放当前Session,而是继续使用已经与该用户关联的Session。
(2)攻击者能够夺取已知的用户Session ID。
攻击者会利用固定的Session ID漏洞
