前段时间公司又一轮安全审查，要求对各项目进行安全扫描，排查漏洞并修复，手上有几个历史项目，要求在限定的时间内全部修复并提交安全报告，也不清楚之前是如何做的漏洞修复，这次使用工具扫描出来平均每个项目都还有大概100来个漏洞。这些漏洞包括SQL语句注入，C#后端代码，XML文件 ...

...

很多公司对软件会有安全的要求，一般测试公司会使用安全漏洞扫描工具对软件进行漏扫，然后给出安全报告，然后软件开发人员会根据提供的安全报告进行漏洞的处理。我们接触到的测评公司，使用的是漏洞扫描工具AppScan，这里介绍一下AppScan的安装使用，以及安全报告的生成。 1漏扫工具AppScan ...

安全漏洞搜索 ...

1.什么是Web漏洞 　　WEB漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞。如果网站存在WEB漏洞并被黑客攻击者利用，攻击者可以轻易控制整个网站，并可进一步提前获取网站服务器权限，控制整个服务器。 2. 常见的web安全漏洞 2.1 SQL注入 ...

漏洞内容 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】 判断处理办法 因为rocketmq使用tls协议来处理通信，但是仍然使用tlsV1协议版本，改漏洞应该是因为tls协议版本过低导致的，所以需要通过一些方案修改tls协议 ...

。 其中的介绍部分，主要介绍了WEB安全不同严重级别的漏洞数量，扫描的时间，测试策略， ...

1.XSS 原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码，当用户浏览该网站时，这段HTML代码会自动执行，从而达到攻击的目的。如，盗取用户Cookie信息、破坏页面结构、重定向到其它网站等。 理论上，只要存在能提供输入的表单并且没做安全过滤或过滤不彻底，都有可能存在XSS ...