1、账号登录防破解机制
(1)锁定ip
(2)锁定账号
(3)验证码(原有表单要要设置失效)
(4)重试间隔递增
(5)错误提醒不能透露信息(账号和密码不匹配即可)
2、保护敏感信息
(1)密码加密传输
(2)DO中密码重写toString
(3)不允许shell中明文密码传参
(4)日志中不允许输出明文或者密文密码
(5)秘钥和密文不在同一个文件中
3、注入攻击
(1)SQL注入
(2)XSS注入
(3)命令行注入
(4)防护措施:参数白名单、转义、预编译(针对sql注入)
4、DOS攻击
(1)正则表达式引起redos攻击(回溯法的缺陷,避免重复的分组以及较长的匹配值)
(2)zip 解压(判断大小以及zip文件数,同事路径要做归一化)