- 修改conf/servler.xml,並在host的tag內加入以下設定。
2009年11月30日 星期一
Tomcat自動Reload Servlet
VMware修改MAC Adress
- 找到目錄下的.vmx檔
- 找到該檔內的二行程式 ethernet0.addressType = "generated"
ethernet0.generatedAddress = "00:00:00:87:65:43"
- 將這二行程式替換成 ethernet0.addressType = "static"
ethernet0.address = "00:00:00:87:65:44"
2009年11月29日 星期日
Tomcat上設定SSL雙向驗證
1. 在Server.xml裡SSL的Connector tag內加入clientAuth="true"這個屬性,此屬性表示所有走SSL的Client都需驗證它的憑證是否為Server所信任的。
2. 若在Server.xml無設定truststoreFile屬性等相關資訊時,則Client只要使用任何正確的憑證即可進入網頁。
3. 若要限定Client的憑證是特定CA所發出的憑證,則需要設定truststoreFile屬性等相關資訊。並將所信任的CA的憑證,利用keytool匯入到truststoreFile(此範例為.keystore)。
<Connector port="4443" minSpareThreads="5" maxSpareThreads="475" enableLookups="true"
disableUploadTimeout="true" acceptCount="500" maxThreads="1000" scheme="https"
secure="true" SSLEnabled="true" keystoreFile="/.keystore"
keystorePass="admin123" sslProtocol="TLS" URIEncoding="UTF-8" clientAuth="true"
truststoreFile="/.keystore" truststorePass="admin123" truststoreType="JKS" />
PS. JKS為Java Key Store,也可以用另一種類型PKCS12disableUploadTimeout="true" acceptCount="500" maxThreads="1000" scheme="https"
secure="true" SSLEnabled="true" keystoreFile="/.keystore"
keystorePass="admin123" sslProtocol="TLS" URIEncoding="UTF-8" clientAuth="true"
truststoreFile="/.keystore" truststorePass="admin123" truststoreType="JKS" />
2. 若在Server.xml無設定truststoreFile屬性等相關資訊時,則Client只要使用任何正確的憑證即可進入網頁。
3. 若要限定Client的憑證是特定CA所發出的憑證,則需要設定truststoreFile屬性等相關資訊。並將所信任的CA的憑證,利用keytool匯入到truststoreFile(此範例為.keystore)。
2009年11月25日 星期三
Cross Site Scripting(OWASP A2)
1. 攻擊手法
利用網站發佈Script,而且這些Script是其它使用者也會看的到,進而達到跨網站攻擊。
攻擊者通常會利用此手法來劫持其它使用者的sessions、或是重新導向到惡意網站。
2.
3. 如何防止XSS
a. 利用在Cookie內設定HttpOnly來減少系統發生XSS的可能性。
因為在Cookie內設定HttpOnly之後此Cookie就無法透過Javascipt去讀取。
利用網站發佈Script,而且這些Script是其它使用者也會看的到,進而達到跨網站攻擊。
攻擊者通常會利用此手法來劫持其它使用者的sessions、或是重新導向到惡意網站。
2.
3. 如何防止XSS
a. 利用在Cookie內設定HttpOnly來減少系統發生XSS的可能性。
因為在Cookie內設定HttpOnly之後此Cookie就無法透過Javascipt去讀取。
A phrasal Verbs
1. A phrasal Verbs:由動詞加介系統所組成的一個動詞,而且很難從它的動詞去猜它的真正的意思。
2. Example:
put sth away:物歸回位
hang sth up:將東西掛上
2. Example:
put sth away:物歸回位
hang sth up:將東西掛上
2009年11月24日 星期二
Unvalidated Redirects and Forwards(OWASP A8)
1. 攻擊手法
攻擊者利用網站未經過驗證的Redirect和Forward進行攻擊。
a. 未經過驗證的Redirect:攻擊者可以利用此弱點欺騙使用者點選連結並重新導向到惡意網址。
Example: http://www.google.com/redirect.jsp?url=hacker.com/malware.exe
b. 未經過驗證的Forward:攻擊者可能會利用此弱點跳過存取控制,直接連結到管理功能頁
面。
Example: http://www.google.com/forward.jsp?fwd=admin.jsp
2. 自我網站檢查
a. 檢查所有可以帶有參數的Redirect和Forward,是否有驗證參數的功能。
3. 如何預防
a. 簡單的避免使用 Redirect和Forward。
b. 若要使用,不要把使用者輸入的參數當作決定目的端的一部分。
c. 若無法避免,則需要驗證使用者輸入的參數。
攻擊者利用網站未經過驗證的Redirect和Forward進行攻擊。
a. 未經過驗證的Redirect:攻擊者可以利用此弱點欺騙使用者點選連結並重新導向到惡意網址。
Example: http://www.google.com/redirect.jsp?url=hacker.com/malware.exe
b. 未經過驗證的Forward:攻擊者可能會利用此弱點跳過存取控制,直接連結到管理功能頁
面。
Example: http://www.google.com/forward.jsp?fwd=admin.jsp
2. 自我網站檢查
a. 檢查所有可以帶有參數的Redirect和Forward,是否有驗證參數的功能。
3. 如何預防
a. 簡單的避免使用 Redirect和Forward。
b. 若要使用,不要把使用者輸入的參數當作決定目的端的一部分。
c. 若無法避免,則需要驗證使用者輸入的參數。
訂閱:
文章 (Atom)
