安全编程

安全3要素：confidentiality-机密性internity-完整性availability-可用性认证授权不可依赖性安全原则：最小权限原则纵深防御原则责权分离原则不可预测性原则标准：OWASP：tika出错处理信息泄露LOG4J事例：1.注入：服务器解释器（SQL:获取数据,XML：篡改数据，LDAP:权限，HTTP响应头截断）2.失效的身份认证和会话管理：cookie session,URL重写，3.跨站脚本：客户端4.不安全的直接对象引用：URL,不可预测性原则5.安全配置错误：第三方6.敏感信息泄漏：对HTTP明文加密7.功能级的访问权限缺失8.跨站请求伪装：session，令牌9.使用有漏洞组件10.未定义的重定向和转发：第三方支付