关键词:
一、客户端脚本安全
(1)跨站脚本攻击(XSS):
XSS攻击,通常指黑客通过“html注入” 篡改了网页,插入了恶意的脚本,从而在用户浏览网页的时候,控制用户浏览器的一种攻击。
最常见的XSS攻击就是通过读取浏览器的Cookie对象,从而发起“cookie劫持”,当前用户的登录凭证存储于服务器的session中,
而在浏览器中是以cookie的形式进行存储的,cookie被劫持后,意味着攻击者可以不通过密码而直接登录系统。我们也可以直接在浏览器中输入脚本javascript:alert(document.cookie)来获取当前cookie值。
为cookie植入HttpOnly标识。
解决方案:<Context docBase="E: omcatapache-tomcat-6.0.24/webapps/netcredit" path="/netcredit" reloadable="false" useHttpOnly="true"/>
或者:在web.xml 中 加入
<session-config>
<cookie-config>
<http-only>true</http-only>
</cookie-config>
</session-config>
二、服务器端应用安全
1、SQL注入攻击:
Sql注入的的两个关键条件:第一个是用户能够控制输入;第二个是原本程序要执行的代码,拼接了用户输入的数据。PreparedStatement与Statement
2.关闭web服务器的错误回显功能,这样可以防止攻击者对系统进行攻击后,通过回显的详细错误信息对攻击内容进行调整,对攻击者提供极大的便利。
我们在项目的web.xml文件中添加以下示例代码
<error-page>
<error-code>400</error-code>
<location>/error400.jsp</location>
</error-page>
3.数据库自身使用最小权限原则,系统程序不使用最高权限的root对数据库进行连接,而是使用能满足系统需求的最小权限账户进行数据库连接,
而且多个数据库之间使用不同的账户,保证每个数据库都有独立对应的账户。
4、认证与会话管理
登录使用验证码、限制密码错误次数,如果超过次数可以限制该ip一段时间内不可登录。
给Session设置了一个有效时间,来保证在有效时间后Session将自动销毁,以防止Session长连接所带来的安全隐患
<session-config>
<session-timeout>30</session-timeout>
</session-config>
三、文件上传漏洞
文件上传漏洞是指用户上传了一个可执行的脚本文件,并通过脚本文件获得了执行服务器端命令的能力,这样将会导致严重的后果。
可以通过控制对上传文件详细的格式验证控制脚本文件上传;如果以上验证都成功通过,本系统在对文件进行存储时会将文件名进行重命名处理,
并且设置相应的web服务器,默认不显示目录。因为文件上传如果需要执行代码,则需要用户能够访问到这个文件,因此使用随机数改写了文件名,
将极大的增加攻击的成本,甚至根本无法成功实施攻击。
《白帽子讲web安全》学习笔记之第12章web框架安全
第12章WEB框架安全12.1MVC框架安全在Spring框架中可以使用springsecurity来增加系统的安全性。12.2模板引擎与XSS防御 12.3WEB框架与CSRF防御在MVC中防御CSRF:q 在Session中绑定token。如果不能保存到数据库中的Session,则使用Cookie.q ... 查看详情
2018-4-7未命名文件
...显微薄的基本知识。教材知识框架web应用程序体系结构及安全威胁1.web应用体系结构:包括浏览器,web服务,web应用程序,数据库,传输协议2.web应用安全威胁:·针对浏览器和终端用户的web浏览安全威胁·针对传输网络的网络协... 查看详情
《白帽子讲web安全》学习笔记之第1章我的安全世界观
第1章我的安全世界观1.1web安全简史1.1.1中国黑客简史现在中国乃至全世界的黑客或者说是骇客已经进入了“黑暗时代”,因为互联网存在这大量的利益。1.1.2黑客技术的发展历程1.1.3web安全的兴起web安全是信息安全领域的一个重... 查看详情
web安全相关资料
Asp.net安全架构:http://www.cnblogs.com/luminji/category/381486.html 查看详情
网络攻防第五周作业(代码片段)
1.Web应用程序安全攻防Web应用体系结构包括浏览器、web服务器、web应用程序数据库、传输协议。Web应用安全威胁和攻击类型:针对浏览器和终端用户的Web浏览安全威胁;系统层安全威胁;Web服务器软件安全威胁;Web应用程序安全... 查看详情
零基础如何学习web安全?
随着网络安全行业的快速发展,Web安全也出现在大众视野中,尤其是当Web2.0、社交网络、微博等等一系列新型的互联网产品的诞生,基于Web环境的互联网应用越来越广泛,企业信息化的过程中将各种应用都架设在W... 查看详情
一文读懂web安全(代码片段)
Web安全是互联网中不可或缺的一个领域,这个领域中诞生了大量的黑帽子与白帽子,他们都是安全领域的王者,在平时里,他们利用各种巧妙的技术互相博弈,时不时就会掀起一场Web安全浪潮,真可谓神仙打架,各显神通。本文... 查看详情
好书推荐写web必须知道的安全知识|《白帽子讲web安全》
目录一、引言二、书籍简介三、安全问题的本质是信任的问题四、总结一、引言你好,我是小雨青年,一名程序员。今天为你推荐的书籍是《白帽子讲Web安全》。作为写后台的你,是否困惑用户输入应该提防哪些方面... 查看详情
好书推荐写web必须知道的安全知识|《白帽子讲web安全》
目录一、引言二、书籍简介三、安全问题的本质是信任的问题四、总结一、引言你好,我是小雨青年,一名程序员。今天为你推荐的书籍是《白帽子讲Web安全》。作为写后台的你,是否困惑用户输入应该提防哪些方面... 查看详情
初探前端web安全#1
...交互效果后,也应该仔细斟酌前端隐藏在灰色地带的安全问题,这次小编也通过大量网上的资料和自己的实践,希望能够向大家介绍几种常见的WEB前端的恶意攻击行为。以下也是这几年互联网web安全领域中比较严重的... 查看详情
在 web.config 中硬编码密码是不是安全?
】在web.config中硬编码密码是不是安全?【英文标题】:Isitsafetohardcodeapasswordinweb.config?在web.config中硬编码密码是否安全?【发布时间】:2018-10-2508:31:28【问题描述】:像这样在asp.net-project的web.config中写入密码有多安全:<mailSet... 查看详情
什么是web安全?web应用漏洞的防御实现
参考技术A什么是Web安全?Web安全是计算机术语。随着Web2.0、社交网络等一系列新型的互联网产品诞生问世,基于Web环境的互联网应用越来越广泛,企业信息化的过程中各种应用都架设在Web平台上,Web业务的迅速发展也引起黑客... 查看详情
Flutter:Web 视图安全源
】Flutter:Web视图安全源【英文标题】:Flutter:WebViewSecureOrigin【发布时间】:2019-06-2511:52:30【问题描述】:加载Youtube视频时,FlutterWebview(webview_flutter:^0.1.2)出现错误,(虽然我最初认为它与内容安全问题有关),这似乎是HTTPS上的... 查看详情
安全安全测试
1.从Web安全学起2.安全的核心问题----漏洞(Web漏洞、系统漏洞)3.黑客技术发展的三个阶段第一阶段:攻击目标主要是网络、操作系统、软件第二阶段:攻击目标主要是Web服务器端,典型方法SQL注入第三阶段:攻击目标主要是客... 查看详情
《headfirstservlets&jsp》-12-web应用安全
serlvet安全的4大要素认证、授权、机密性和数据完整性。容器完成认证和授权的过程代码中不要有安全信息大多数Web应用,大多数情况下Web应用的安全约束都应该以声明方式处理,即在部署描述文档中指定。原因如下:谁不想更... 查看详情
web安全期末考试题目总结
Web安全期末考试题目1.同源策略的概念”协议+域名+端口”三者相同,叫做同源策源。同源策源主要为了安全,确保一个应用中的资源只能被本应用的资源所访问2.HTTP请求和响应的组成、字段等。HTTP请求报文主要组成:1.请求行... 查看详情
在加载 Web 应用程序之上提供安全层
】在加载Web应用程序之上提供安全层【英文标题】:ToprovidesecuritylayerontopofloadingWebApplication【发布时间】:2019-04-2123:27:40【问题描述】:在加载Web应用程序之上提供安全层。场景:实现一个.exe文件(客户端),它会要求输入密码... 查看详情
Scala Web 应用程序安全性
】ScalaWeb应用程序安全性【英文标题】:Scalawebapplicationsecurity【发布时间】:2011-07-2903:01:59【问题描述】:对于ScalaWeb应用程序中的Web安全,有哪些好的框架选择。我们想尝试ScalaWeb开发,但还没有找到好的ScalaWeb应用安全框架。... 查看详情