身為一個該死的攻城獅,static 這鬼東西大概會一直不斷的圍繞著你。平常都鴕鳥心態抱著一種反正還可以跑就算了拉~沒想到最近終於被雷到了,TMD該死。花了我四小時找到root cause,於是還是寫一下當作techshare來還債。
Fortify 弱點掃描
應用程式回傳header 中cookie沒有回傳HTTPOnly屬性可能會遭遇Cookie Hijacking的XXS攻擊。
在瀏覽器行為中,預設會對 Content-type 不明或有誤的檔案做 sniffing 演算法,探測此檔案的類型並已相對應的方式執行。然而,這可能導致惡意使用者注入程式碼至檔案中。
例如: 在圖片中嵌入惡意程式碼,瀏覽器可能偵測為 js 程式碼腳本而執行。
https://docs.microsoft.com/zh-tw/dotnet/standard/containerized-lifecycle-architecture/design-develop-containerized-apps/visual-studio-tools-for-docker
在微軟的文章中完整了說明所有的步驟,簡略來說
我們的服務使用StackExchange.Redis與redis連線,上線一段時間後時不時的就會出現以下錯誤導致交易失敗,當發生以下錯誤的時候就必須把AppPool回收連線才會恢復正常。
