1.不安全数据处理
1.某些需登录后或特殊用户才能进入的页面,是否可以通过直接输入网址的方式进入;
2.对于带参数的网址,恶意修改其参数,(若为数字,则输入字母,或很大的数字,或输入特殊字符等)后打开网址是否出错,是否可以非法进入某些页面;
3.搜索页面等url中含有关键字的,输入html代码或JavaScript看是否在页面中显示或执行。
4.对于一些重要的参数信息,不应该在URL中显示出来如:用户登陆时登录名、密码是否被显示出来了.
5.直接输入需要权限的网页地址可以访问
6.传输中与存储时的密码没有加密
解决办法:
利用ssl来进行加密,在位于HTTP层和TCP层之间,建立用户与服务器之间的加密通信
进入一个SSL站点后,可以看到浏览器出现警告信息,然后地址栏的http变成https (特点确定)
2.敏感数据加密情形:
1.在页面输入密码,页面应显示 “*****”;
2.数据库中存的密码应经过加密;
3.地址栏中不可以看到刚才填写的密码;
4.右键查看源文件不能看见刚才输入的密码;
5.帐号列表:系统不应该允许用户浏览到网站所有的帐号,如果必须要一个用户列表,推荐使用某种形式的假名(屏幕名)来指向实际的帐号
Java:
String newName = MD5Util.string2MD5(String name);//MD5
String newName1 =MD5Util.convertMD5(s);//加密后
String proName =MD5Util.convertMD5(convertMD5(name));//解密