javaWeb安全问题

解决xss和crfs问题 

方案： http://www.hollischuang.com/archives/69

java jps命令相关  

http://www.hollischuang.com/archives/105

jstack 命令相关

检测java程序是否有memory leak等问题    http://www.hollischuang.com/archives/110

jstat  命令 

 内存占用情况，gc 频率等  http://www.hollischuang.com/archives/481

java base64编码 

 简单的编码策略，防止数据明文传输    http://hw1287789687.iteye.com/blog/1910853 

java 加密各种算法  

jdk原生支持的算法     http://www.360sdn.com/java/2016/0424/7434.html

数据安全和数据加密

（详细介绍了加密相关的东西）   http://www.cnblogs.com/wxbjs/archive/2011/09/02/2163540.html

加密数据库字段不是一种好方法么？

 stackexchange网站上，某人的问题   https://security.stackexchange.com/questions/16939/is-it-generally-a-bad-idea-to-encrypt-database-fields

                                                                            怎样考虑网络、数据安全问题(翻译       ↑   )
      

      在处理、解决安全问题之前，首先要了解基本的安全概念。网络数据安全是一个专门领域。
你不可能通过在街上随机找个人做关于个人隐私的调查问卷，你也不能期望大部分软件
开发了解如何保护你的系统。
       

       我认为在网络数据安全问题上有很多误解。例如，数据加密就能保证数据安全。这明显是一个
误解。如Bruce Schneier（安全界专家）强调的，加密对于系统安全并不是万能药。Roger Needham 
曾经说过，假如你认为加密就可以解决你的问题，要么是你不理解什么是加密，要么是你更本不了解
你的问题。
    

      保护计算机系统安全，一个重要的概念是风险模型。这意味着你需要自己思考你所面临的攻击是什么，你面对的是怎样的对手，

以及哪些是你不需要考虑的问题。没有仔细考虑风险模型会带来安全隐患。
看上去很合理的安全机制，实践中可能会暴露很多问题。好的安全管理通常归结为风险管理。仔细分析
哪些是最严重的风险，然后针对性的考虑降低或管理这些风险。
   

   理解安全问题的脆弱性，你的系统安全保护是很脆弱的。整个系统的任意部分都有可能导致整个系统
受到影响。保护好你的系统并不是单单靠一个点就能解决的。你需要考虑方方面面。
  

    说的详细点，假如你的目标是阻止未授权用户访问你的敏感数据。那么你需要考虑以下几个方面。
解决安全问题没有银弹，你需要全面考虑问题。
以下是一些关于数据安全的建议：

应用安全
     你需要了解web应用的安全问题。无论你对数据如何加密，假如攻击菏泽能够找到你系统中某些代码
的漏洞，那么你就中招了。对于web应用，OWASP 有列举了很多精彩的列子。确保你知道OWASP Top Ten,guanyu XSS
,SQL注入，输入验证、输出转义、白名单等其他概念。

  访问控制

  你的web应用需要一些访问控制策略。来限制哪些人能够访问，哪些不能。了解各种访问控制的策略，比如黑白名单
访问token等。

   认证
        对于登录用户，你需要一些认证机制。标准的方式是通过用户名密码登录。但是单单通过用户名密码的方式
还是有些限制。假如用户使用了弱密码，那么这将减弱系哦他能够的安全性。
  
    在整个软件开发周期的安全机制
在开发系统的时候就要从架构层面上考虑安全问题，做风险分析。编码阶段注意一些常见的安全问题.
发布部署阶段也要注意一些问题。详细参考关键字BSIMM。

   安全评估
   假如在意系统的安全问题。你做好对系统做一个安全评估。第一步就是对你的系统做一个渗透测试，
检查一些通常的问题。虽然渗透测试无法做到面面俱到，至少他能保证你的系统在一些常见问题上有一定的抗攻击能力。   

    总的来说，你不需要成为一个安全专家，毕竟假如真的有黑客攻击，除非他们是弱鸡，否则“良辰有一百种方式攻破你的系统”。
但是假如考虑了那些基本的，如SQL注入、XSS、输入验证等问题，那么应付应付“脚本小子”还是可以的。
 ----the end-------------------- 
  

OWSAP：10个最重大的Web应用风险与攻防   

http://blog.csdn.net/lifetragedy/article/details/52573897

1、注入；2、失效的authenication、session管理；3、XSS跨站脚本攻击；4、不安全的对象直接引用；5、CSRF伪造跨站请求

6、安全误配置；7、限制URL访问失败（缺少功能接访问空值）；8、未验证的重定向和转发；9引用一直脆弱性的组件；10敏感暴露

注： OWASP (Open Web Application Security Project) is an organization that provides unbiased and practical, cost-effective information about computer and Internet applications.   开放式Web应用程序安全项目