web数据安全

1.不安全数据处理

1.某些需登录后或特殊用户才能进入的页面,是否可以通过直接输入网址的方式进入；

2.对于带参数的网址,恶意修改其参数,(若为数字,则输入字母,或很大的数字,或输入特殊字符等)后打开网址是否出错,是否可以非法进入某些页面；

3.搜索页面等url中含有关键字的,输入html代码或JavaScript看是否在页面中显示或执行。

4.对于一些重要的参数信息，不应该在URL中显示出来如：用户登陆时登录名、密码是否被显示出来了.

5.直接输入需要权限的网页地址可以访问

6.传输中与存储时的密码没有加密

解决办法：

利用ssl来进行加密，在位于HTTP层和TCP层之间，建立用户与服务器之间的加密通信

进入一个SSL站点后，可以看到浏览器出现警告信息，然后地址栏的http变成https （特点确定）

 

2.敏感数据加密情形：

 

1.在页面输入密码，页面应显示 “*****”；

2.数据库中存的密码应经过加密；

3.地址栏中不可以看到刚才填写的密码；

4.右键查看源文件不能看见刚才输入的密码；

5.帐号列表：系统不应该允许用户浏览到网站所有的帐号，如果必须要一个用户列表，推荐使用某种形式的假名（屏幕名）来指向实际的帐号

Java:

String newName = MD5Util.string2MD5(String name);//MD5

String newName1 =MD5Util.convertMD5(s);//加密后

String proName =MD5Util.convertMD5(convertMD5(name));//解密