JavaWeb 项目安全问题及其解决方案

最新推荐文章于 2024-03-20 17:59:36 发布
最新推荐文章于 2024-03-20 17:59:36 发布
阅读量7.4k 收藏 20
点赞数 1
1.弱口令漏洞

解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密,或者多种加密方式叠加组合。

2.未使用用户名及密码登录后台可直接输入后台URL登录系统。

解决方案:通过配置filter来过滤掉无效用户的连接请求。

3.JSP页面抛出的异常可能暴露程序信息。有经验的入侵者,可以从JSP程序的异常中获取很多信息,比如程序的部分架构、程序的物理路径、SQL注入爆出来的信息等。

解决方案:自定义一个Exception,将异常信息包装起来不要抛到页面上。

4.合法用户“注销”后,在未关闭浏览器的情况下,点击浏览器“后退”按钮,可从本地页面缓存中读取数据,绕过了服务端filter过滤。

解决方案:配置filter对存放敏感信息的页面限制页面缓存。如:

httpResponse.setHeader("Cache-Control","no-cache"); 

httpResponse.setHeader("Cache-Control","no-store");

httpResponse.setDateHeader("Expires"0);

httpResponse.setHeader("Pragma","no-cache");

5.SQL注入漏洞。

解决方案:在数据库访问层中不要使用“+”来拼接SQL语句!如:

String sql= “SELECT * FROM USERS WHERE 1=1;if(null != user.getUserName() && !””.equals(user.getUserName())){

        sql += “ and UNAME = ‘”+user.getUserName()+”’”;}

而应使用PreparedStatement。如:

PreparedStatement pstmt = con.prepareStatement("SELECT * FROM USERS WHERE UNAME=?");

pstmt.setString(1, “Neeke”);

如果项目中使用了Hibernate框架,则推荐使用named parameter。如:

String queryString = "from Users where uname like :name";

冒号后面是一个named parameter,我们可以使用Query接口将一个参数绑定到name参数上:

List result = session.createQuery(queryString)

                  .setString("name", user.getUserName())

                  .list();

6.文件上传漏洞。前台仅使用JS对文件后缀做了过滤,这只能针对普通的用户,而恶意攻击者完全可以修改表单去掉JS校验。

解决方案:前台JS过滤加服务器端程序过滤。具体过滤掉哪些文件类型视具体情况而定。

7.可执行脚本漏洞。对用户提交的数据未转义,一些用户提交的含有JavaScript脚本的信息被直接输出到页面中从而被浏览器执行。

解决方案:使用org.apache.commons.lang.StringEscapeUtils对用户提交的数据进行转义。如:

@RequestMapping(params="method=addTopic",method=RequestMethod.POST)public ModelAndView addTopic(HttpServletRequest request, HttpServletResponse response, BbsTopic topic){

BaseAdmin user = (BaseAdmin) request.getSession().getAttribute(Constant.SESSION_USER);

topic.setBaseAdmin(user);

topic.setTopicDate(new Timestamp(System.currentTimeMillis()));

topic.setTopicContent(StringEscapeUtils.escapeHtml(topic.getTopicContent()));

topic.setTopicTitle(StringEscapeUtils.escapeHtml(topic.getTopicTitle()));this.bbsTopicService.save(topic);return new ModelAndView(new RedirectView("bbs.do?method=topicList&bfid="+ topic.getBfid()));}

8.Java WEB容器默认配置漏洞。如TOMCAT后台管理漏洞,默认用户名及密码登录后可直接上传war文件获取webshell。

解决方案:最好删除,如需要使用它来管理维护,可更改其默认路径,口令及密码。

9、 日志,建议增加服务的访问日志,记录来访者的 IP ,传递参数,对后台操作用户建立日志,记录其操作内容。完善的日志记录可以帮助你发现潜在的危险,找到已经发生的问题。

10.重放攻击.

11.僵尸网络暴力破解(非弱口令)

12,登录表单http明文提交

13.千万不要乱用数据类型。使用基本数据类型,少用包装类。包装类容易被攻击。不要用String去接受所有类型数据。原则上:是什么类型就用什么类型去接收。

14.通过架构设计,添加一层设置处理http参数(验证数据的类型、合法性、长度和范围)。一般都是通过aop来实现。比如:对邮件、手机的验证,对非法数字(小于0)的验证,对整数最大值的验证,对字符串最大长度的验证等。

15,点击劫持.大概有两种方式,一是攻击者使用一个透明的iframe,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的iframe页面;二是攻击者使用一张图片覆盖在网页,遮挡网页原有位置的含义;






sudo_Shutdown
关注
  • 1
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
常见JavaWeb安全问题解决方案
08-19
主要介绍了常见JavaWeb安全问题解决方案,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下
JavaWeb开发中请求重复提交的解决方案及实现.pdf
04-11
实际项目实施中不同的开发者会设计不同的解决思路和方案,然而不可避免的是,很多解决方案代码中仍然存在繁琐不实用的问题,有的甚至还存在较大的安全隐患,导致不能从根...
Java-如何防止XSS攻击
了解➔熟悉➔掌握➔精通
01-02 7561
分享一个大牛的人工智能教程。零基础!通俗易懂!风趣幽默!希望你也加入到人工智能的队伍中来!请轻击http://www.captainbed.net XSS攻击通常指的是利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页的程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和co
java web系统的常见安全问题
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-11 1280
java开发的系统在发布到互联网后都需要进行安全扫描,本文主要总结开发web系统需要注意的与系统安全相关的问题。因为在做需求开发时,很少产品会将系统安全的因素考虑在内,总觉得实现个需求很简单,就是一些页面,一些接口。以至于在构筑安全的逻辑上没给工时,开发人员也没想太多去实现这些有必要有看不见的东西。所以一般就变成了系统上线后,发现安全问题,再返工补漏洞的现象。显得非常不专业。
常见六大WEB安全问题
m0_60469045的博客
03-20 1013
六大WEB安全问题
安全】Java(web)项目安全漏洞及解决方式【面试+工作】
瑞新の博客:bennyrhys
04-29 4776
文章目录问题一.安全问题层次关系二.安全问题的本质三.安全漏洞及处理方式1、SQL注入攻击2、XSS跨站脚本攻击3、CSRF跨站请求伪造漏洞防护4、URL链接注入漏洞防护5、会话COOKIE中缺少HttpOnly防护6、点击劫持漏洞(Clickjacking)防护7、HTTP host 头攻击漏洞8、越权访问漏洞防护9.弱口令漏洞10.JSP页面抛出的异常可能暴露程序信息。11.本地缓存漏洞1...
web项目中常见漏洞及解决方案
weixin_42071232的博客
03-21 7289
1.X-Frame-Options劫持 漏洞类型:内容欺骗 描述: 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见 的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知 情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点 击在iframe页面的一些功能性按钮上。 HTTP 响应头信息...
Web开发常见安全问题及解决
热门推荐
sigmeta的博客
05-22 1万+
Web攻击动机:恶作剧;关闭Web站点,拒绝正常服务;篡改Web网页,损害企业名誉;免费浏览收费内容;盗窃用户隐私信息,例如Email;以用户身份登录执行非法操作,从而获取暴利;以此为跳板攻击企业内网其他系统;网页挂木马,攻击访问网页的特定用户群;仿冒系统发布方,诱骗用户执行危险操作,例如用木马替换正常下载文件,要求用户汇款等1.SQL注入(SQL Injection)定义由于程序中对用户输入检查...
JavaWeb】浅谈接口安全设计指南(含源码)
墩墩分墩
02-25 1434
### 1.数据加密 我们知道数据在传输过程中是很容易被`抓包`的,如果直接传输比如通过`http协议`,那么用户传输的数据可以被任何人获取,所以必须对数据加密。常见的做法对关键字段加密,比如:用户密码直接通过md5加密。 - 现在主流的做法是使用`https协议`,**在http和tcp之间添加一层加密层**`(SSL层)`,这一层负责数据的加密和解密; ### 2.数据加签 数据加签就是由发送者产生一段无法伪造的一段数字串,来保证数据在传输过程中防止被抓包篡改。 你可能会问数据如果已经通过`http
java web 安全 注意事项,常见JavaWeb安全问题解决方案
weixin_36289742的博客
03-13 317
1.SQL注入:程序向后台数据库传递SQL时,用户提交的数据直接拼接到SQL语句中并执行,从而导入SQL注入攻击。字符型注入:黑色部分为拼接的问题参数select * from t_user where name='test' or '1' = '1';数字型注入:黑色部分为拼接的问题参数(对于强类型语言,字符串转int类型会抛异常。所以这种注入方式一般出现在php等弱类型语言上)select *...
java日常常见的几种安全问题
lixia0417mul2的博客
07-11 334
常见的几种安全问题 常见安全问题及解决措施
java web项目安全设计
大白兔的开发专栏
04-16 5977
准备知识 BurpSuite工具–安全测试使用 安全设计要点 使用https协议访问 登录页面密码输入框关联密码控件&键盘–敏感信息加密传输至后台,防止中途被截取 登录页面增加一次性图形验证码–仅能验证一次,验证后从session立即删除该key 禁止同一账户多处登录–以shiro框架做权限管理为例,实现方式参考我的另一篇文章《shiro框架实现单点登录》 sessionId不能固...
SpringBoot项目基于javaweb的学生用品采购系统.zip
04-14
SpringBoot项目基于Java Web的学生用品采购系统是一个针对学生及教育机构设计的在线购物平台,旨在简化和优化学生用品的采购过程。利用Spring Boot的快速开发特性和Java Web技术栈的稳定性,该系统整合了商品浏览、...
Java项目源码_ssm_科帮网javaWeb计算机配件报价系统项目源码.rar
03-27
本源码经过精心设计和实现,旨在提供一个高效、稳定且易于扩展的计算机配件报价解决方案。 该系统具有以下特点: 1. 用户友好的界面:采用HTML、CSS和JavaScript技术开发,界面美观大方,操作简便。 2. 强大的后台...
JavaWeb后台开发框架-其他
06-12
提高了整体开发效率,整体开发效率提交80%以上,JavaWeb框架专注于为中小企业提供最佳的行业基础后台框架解决方案,执行效率、扩展性、稳定性值得信赖,操作体验流畅,使用非常优化,欢迎大家使用及进行二次开发。...
java开发常见问题
09-08
java开发工作两年遇到的技术问题以及查找到的解决方案还有一些积累,涉及前端技术,android开发,java后台以及数据库sql优化,session共享,单点登录,kafka入门,websocket,线程安全等。
基于java的-28-“智慧食堂”设计与实现--LW-源码.zip
04-25
提供的源码资源涵盖了Java应用等多个领域,每个领域都包含了丰富的实例和项目。这些源码都是基于各自平台的最新技术和标准编写,确保了在对应环境下能够无缝运行。同时,源码中配备了详细的注释和文档,帮助用户快速理解代码结构和实现逻辑。 适用人群: 适合毕业设计、课程设计作业。这些源码资源特别适合大学生群体。无论你是计算机相关专业的学生,还是对其他领域编程感兴趣的学生,这些资源都能为你提供宝贵的学习和实践机会。通过学习和运行这些源码,你可以掌握各平台开发的基础知识,提升编程能力和项目实战经验。 使用场景及目标: 在学习阶段,你可以利用这些源码资源进行课程实践、课外项目或毕业设计。通过分析和运行源码,你将深入了解各平台开发的技术细节和最佳实践,逐步培养起自己的项目开发和问题解决能力。此外,在求职或创业过程中,具备跨平台开发能力的大学生将更具竞争力。 其他说明: 为了确保源码资源的可运行性和易用性,特别注意了以下几点:首先,每份源码都提供了详细的运行环境和依赖说明,确保用户能够轻松搭建起开发环境;其次,源码中的注释和文档都非常完善,方便用户快速上手和理解代码;最后,我会定期更新这些源码资源,以适应各平台技术的最新发展和市场需求。 所有源码均经过严格测试,可以直接运行,可以放心下载使用。有任何使用问题欢迎随时与博主沟通,第一时间进行解答!
C#,回文分割问题(Palindrome Partitioning Problem)算法与源代码
04-25
C#,回文分割问题(Palindrome Partitioning Problem)算法与源代码 1 回文串 “回文串”是一个正读和反读都一样的字符串,初始化标志flag=true,比如“level”或者“noon”等等就是回文串。 2 回文分割问题 给定一个字符串,如果该字符串的每个子字符串都是回文的,那么该字符串的分区就是回文分区。 例如,“aba | b | bbabb | a | b | aba”是“abababababa”的回文分区。 确定给定字符串的回文分区所需的最少切割。 例如,“ababababababa”至少需要3次切割。 这三个分段是“a | babbab | b | ababa”。 如果字符串是回文,则至少需要0个分段。 如果一个长度为n的字符串包含所有不同的字符,则至少需要n-1个分段。
node-v9.2.1.tar.xz
最新发布
04-25
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
Javaweb项目经常解决的问题
05-31
3. 安全问题JavaWeb 项目需要考虑安全问题,包括如何防止 SQL 注入、如何防止 XSS 攻击、如何保护用户密码等。 4. 页面设计问题JavaWeb 项目需要考虑页面设计问题,包括如何设计页面布局、如何使用 CSS 和 ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值