Capturing Life & Tech
最近项目进行了第三方测试和等保测试。意料之中,问题比较多。
虽然我已经慢慢从项目中退出,但是遇到问题,还死活要帮忙解决下的。
这次采用的IBM APPScan 进行web扫描检测,只需输入一个网址,便自动测试出网站存在的诸多问题。我猜测是根据域名,通过爬虫来爬取网站上的连接,一层层的往下测试。当然,其中的测试过程,测试软件中需预先设定默认输入参数,尽量多的测试可能性。由此保障测试的可信度、完整度。
本次测试也是我做的项目第一次接受第三方检测,原来都是一些管理系统,没必要。这次是面向外部互联网的,以后还是需要多往互联网项目靠。
测试报告用中英文显示了高中低三档的危险漏洞。其中高危主要是两个问题,SQL注入和XSS跨站脚本编写攻击。以下列出这两个问题的简单解决方式。做个记录吧,以后的工程里默认都要加入。
more >>传统项目真的没有搞头。知识面亟待拓宽。
Windows
1 | expdp test/test@192.168.100.1/sid schemas=test dumpfile=test20190912.dmp directory=DATA_PUMP_DIR logfile=20190912.log |
1.生产事故记录
–1.1问题描述
–1.2问题分析
–1.3解决途径
–1.4结果
–1.5未验证疑问
2.参考
3.tomcat-session原理相关
–3.1听网易公开课的几个问题 - 有关Session 工作原理
—3.1.1 Tomcat 中 session 保存在哪?
—3.1.2 tomcat 怎么追踪请求属于哪个session?
—3.1.3 session是不是在用户登录时就产生了
—3.1.4 tomcat 默认并发数
本次设计有web前端系统(public)及web管理端(manager)两个web用户系统,在同一个浏览器同时打开两个系统,先后登录,之后系统会丢失登录状态。
现象:同一个浏览器访问同一个服务器下的两个tomcat服务,会产生session覆盖的问题。
more >>tag:
缺失模块。
1、请确保node版本大于6.2
2、在博客根目录(注意不是yilia-plus根目录)执行以下命令:
npm i hexo-generator-json-content --save
3、在根目录_config.yml里添加配置:
jsonContent:
meta: false
pages: false
posts:
title: true
date: true
path: true
text: false
raw: false
content: false
slug: false
updated: false
comments: false
link: false
permalink: false
excerpt: false
categories: false
tags: true