java web安全总结
来源:互联网 发布:刚哥哥淘宝店招制作 编辑:程序博客网 时间:2024/05/01 17:12
简单总结下,java开发者至少需要了解这几个基本的方面。这样你的代码更安全
1. SQL注入:
概念:意思是不要让SQL里面的参数是含有表达式的,
现象:比如select * from user where name=${name},要是攻击者把name传test;union select * from role;
解决方法:
禁止在ibatis里面使用${name}格式参数,必须使用#{name}格式,#是不能传表达式的SQL的
2. 钓鱼网站:
实例:攻击者通过发布一个url让用户访问,这个url可能为:www.taobao.com/HelloWorld.action?redirect:http://www.恶意网站.com
如果taobao.com没有屏蔽redirect的话,那点击这个url就可能恶意网站去了,因为用户一般只看前面的地址以为是淘宝的。
解决方法:
应该在taobao.com屏蔽redirect的功能(strust有这个问题)
3.XSS攻击:
实例:攻击者在页面的输入些js脚本,然后这个网站没有做字符判断就都保存了,然后其他人进入这个页面就会自动执行这个里面的JS脚本。。这个脚本执行恶意的程序,比如去访问某个银行给某个账户加钱,当然这个前提是这个这个用户之前登陆在银行网站上面,而且没有退出,cookie有效
解决方法:
用户输入的内容做判断,过滤相关JS代码,比如<script> <onlick>等
用户输入的内容转码 decode下
4. csrf攻击:
实例:某个用户在邮件中收到恶意邮件点击了相关url,这个url里面包括相关恶意代码,去访问某个银行的汇款接口,给某个指定账户加钱,这个前提是这个用户现在还登录在银行系统上,本地cookie没有失效
解决方法:
我之前文章里面有,这里列举下最常用的
1. 银行网站应该判断请求方的head的Referer参数,看是否来自本银行的url
2. token:请求道银行的时候,银行判断客户端是否带有正确的token,这个token存在session里面,所以这里要求银行的汇款页面请求时候带上这csrfToken。
- java web安全总结
- Web安全基础总结
- web安全验收漏洞修复总结【java项目心血结晶】
- java web安全
- Java Web安全
- WEB安全测试要点总结
- WEB安全:web代码安全问题总结
- java线程安全总结
- java线程安全总结
- Java线程安全总结
- java线程安全总结
- java线程安全总结
- java线程安全总结
- java线程安全总结
- java线程安全总结
- java线程安全总结
- java线程安全总结
- java线程安全总结
- POJ 1182 食物链(带权并查集)
- 微软面试100题之14题:输入一个已经按升序排序过的数组和一个数字, 在数组中查找两个数,使得它们的和正好是输入的那个数字。
- iOS推送证书导出pem文件
- Java抽象类和接口的区别
- AIDL(安卓接口定义语言)
- java web安全总结
- 获取状态栏高度(运用反射)
- centos CentOS-6.2-i386-minimal 安装gnome桌面环境
- 深入理解Hadoop集群和网络
- 二路归并排序
- 每日一编c-7
- Content Providers(内容提供器)
- spring junit--基础配置
- Cracking The Coding Interview 4.2_暂存