服务端开发过程中常见的安全性问题

于 2024-07-02 00:00:00 发布
阅读量365 收藏 7
点赞数 3
分类专栏: 分布式系统 文章标签: 安全性
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57689612/article/details/140110972
版权

身份验证与授权

密码加密

加密传输

Https

DDoS

SQL注入

SQL注入的本质:数据和代码未分离,即数据当做了代码来执行。

解决办法

  • 检查输入的数据是否符合预期,不能直接放入数据库中进行查询
  • 字符串长度验证
  • mybatis具有防sql注入的方式
    • 使用#{}代替${}
    • mybatis会对使用#的数据当成一个字符串,会自动加一个双引号

跨站脚本

XSS

Cross Site Scripting。通过存在安全漏洞的Web网站注册用户的浏览器内运行非法的HTML标签或JavaScript进行的一种攻击。
原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其中 Web 里面的脚本代码会被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私的目的。

类型

  1. 非持久型 XSS(反射型 XSS )

通过给别人发送带有恶意脚本代码参数的 URL,当 URL 地址被打开时,特有的恶意代码参数被 HTML 解析、执行。

一些浏览器如Chrome其内置了一些XSS过滤器,可以防止大部分反射型XSS攻击。

特征:

  • 即时性,不经过服务器存储,直接通过 HTTP 的 GET 和 POST 请求就能完成一次攻击
  • 攻击者需要诱骗点击,必须要通过用户点击链接才能发起
  • 反馈率低,所以较难发现和响应修复
  • 盗取用户敏感保密信息
  1. 持久型 XSS(存储型 XSS)
    持久型 XSS 漏洞,一般存在于 Form 表单提交等交互功能,如文章留言,提交文本信息等,黑客利用的 XSS 漏洞,将内容经正常功能提交进入数据库持久保存,当前端页面获得后端从数据库中读出的注入代码时,恰好将其渲染执行。

特征:

  • POST 请求提交表单后端没做转义直接入库。
  • 后端从数据库中取出数据没做转义直接输出给前端。
  • 前端拿到后端数据没做转义直接渲染成 DOM。

解决办法

  1. 非持久型 XSS(反射型 XSS )
  • Web 页面渲染的所有内容或者渲染的数据都必须来自于服务端。
  • 尽量不要从 URL,document.referrer,document.forms 等这种 DOM API 中获取数据直接渲染。
  • 尽量不要使用 eval, new Function(),document.write(),document.writeln(),window.setInterval(),window.setTimeout(),innerHTML,document.createElement() 等可执行字符串的方法。

CSRF

CSRF(Cross Site Request Forgery),即跨站请求伪造。它利用用户已登录的身份,在用户毫不知情的情况下,以用户的名义完成非法操作。

session劫持

Rainbow_1991
关注
  • 3
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
游戏服务端开发-好友系统
食鱼酱的博客
11-27 4199
好友系统几乎是每个网络游戏都有的系统,以下分享一种好友系统的具体实现方式。
我的学习笔记-Java服务端开发
printfxgd的博客
01-17 1339
从开始进入Java服务端开发,到目前练习生时长已达三年,在这期间摸爬滚打也走了不少弯路,在此分享一下自己的一个学习历程,希望各位看官在Java服务端学习方面可以少走弯路。ps:不要听信什么年轻人可以多试错涨经验的鬼话,在精力和精神都是饱满状态的学习黄金时期,每一次错误在十年二十年后累积都是昂贵的成本,因此在前期选择一名服务端开发工程师真正所需要的知识进行学习,在这基础之上试错也能得到更快的进步。 我将所有的Java知识按照分为如下十四个模块 Java相关内容 Java基础 在这个模块面试官的问题有一种
前端常见安全问题及解决方法
王春燕的博客
05-31 3440
目录 一、XSS (Cross-Site Scripting)跨站脚本攻击 二、CSRF (Cross-site request forgery) 跨站请求伪造 三、iframe风险 四、点击劫持 五、第三方依赖包带来的问题 六、https 存在的风险 七、CDN劫持 八、本地存储数据泄露 防御措施总结 一、XSS (Cross-Site Scripting)跨站脚本攻击 定义: XSS(Cross Site Scripting,跨站脚本),即攻击者往 Web 页面里嵌入恶意的客户端
常见六大Web安全问题
letianxf的博客
11-26 7280
一、 XSS Cross-Site Scripting(跨站脚本攻击)简称 XSS(因为缩写和 CSS重叠,所以只能叫 XSS),是一种代码注入攻击。 攻击者通过在目标网站上注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本,攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。 原理 XSS 的原理是恶意攻击者往 Web 页面里插入恶意可执行网页脚本代码,当用户浏览该页之时,嵌入其 Web 里面的脚本代码被执行,从而可以达到攻击者盗取用户信息或其他侵犯用户安全隐私
APP与后台安全性问题及应对方案
中控易动的博客
11-18 3801
一、客户端APP安全 1.反编译保护 问题描述:APP源代码对于一个公司是非常重要的信息资源,对APP的保护也尤为重要,APP的反编译造成源代码被恶意者读取,以及APP的逻辑设计。 处理措施:采用加密和混淆技术达到反编译保护,混淆技术作用是增加了用户反编译后阅读代码的难度。 2.APP二次打包 问题描述:“Android APP二次打包”则是盗版正规Android APP,破解后植入恶意代码重新打包。不管从性能、用户体验、外观它都跟正规APP一模一样但是...
HTTPS如何解决HTTP存在的安全性问题
good good study
10-31 2937
目录 前言 一、HTTPS 二、加密算法 1、对称加密 对称加密引发的安全性问题 2、非对称加密 非对称加密的安全性问题 3、对称加密与非对称加密结合 对称加密与非对称加密结合引发的安全性问题 三、CA 1、证书的签发过程 四、HTTPS通信过程 前言 超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其的信息,因此,HTTP协议
接入HMS Core应用内支付服务过程一些常见问题总结
HarmonyOS SDK闭源开放能力技术团队
03-21 5291
华为HMS Core(In-App Purchases,IAP)为应用提供便捷的应用内支付体验和简便的接入流程。该服务支持客户端和服务端两种开发形式,具体可以参考。分享总结了有关无法拉起支付页面的常见问题,本文将对近期开发者们较为关注的一些集成应用内支付服务过程问题进行汇总,并提出解决方案。
软件测试常见面试问题
热门推荐
李建国的博客
10-13 14万+
1.软件测试级别? 单元测试:单元测试是对软件组成单元进行测试。其目的是检验软件基本组成单位的正确性。测试的对象是软件设计的最小单位:模块。Findyou又称为模块测试,一个单元测试是用于判断某个特定条件(或者场景)下某个特定函数的行为。(测试内容:模块接口测试、局部数据结构测试、路径测试、错误处理测试、边界测试) 集成测试:(集成测试也称联合测试、组装测试,将程序模块采用适当的集成策略组装起...
JWT入门以及常见的登录问题
霁晨晨晨的博客
05-31 3万+
本文主要介绍了JWT是什么,如何使用JWT以及实际开发可能遇到的有关JWT登录问题,比如token的续签、续期和登出问题等。
java 接口安全性_java如何保证接口的安全性
weixin_36336256的博客
02-16 3901
开发过程,肯定有和第三方或者app端的接口调用。在调用的时候,如何来保证非法链接或者恶意攻击呢,下面我们一起来了解一下java如何保证接口的安全性。希望看完后对你有所帮助。1.签名根据用户名或者用户id,结合用户的ip或者设备号,生成一个token。在请求后台,后台获取http的head的token,校验是否合法(和数据库或者redis记录的是否一致,在登录或者初始化的时候,存入数据库/...
web服务端开发
12-27
8. **安全性考虑**:在实际开发,还需要关注Web服务的安全问题,如身份验证、授权、加密传输以及防止SQL注入和跨站脚本攻击等。 9. **扩展性与性能优化**:为了应对高并发和大数据量的挑战,可能需要实现负载均衡...
网游服务端开发入门知识 - 游戏开发游戏npc算法.pdf
04-18
网游服务端开发是游戏开发的重要组成部分,特别是在多人在线游戏(MMO)服务端扮演着协调玩家交互、处理游戏逻辑、确保数据一致性的关键角色。本文将介绍网游服务端开发的一些基本概念,特别是涉及游戏NPC(Non-...
AJAX开发常见的三种问题
03-16
在AJAX(Asynchronous JavaScript and XML)开发过程开发者可能遇到各种挑战和问题。这篇博客主要探讨了AJAX开发的三种常见问题,并提供了解决方案。以下是对这些关键知识点的详细解析: 1. **跨域问题**:...
cxf服务端开发jar包
04-20
11. 安全机制:CXF支持多种安全机制,包括基本认证、WS-Security(如用户名令牌、X.509证书)、OAuth等,确保服务的安全性。 八、性能优化 12. 缓存和性能:CXF提供了缓存机制,可以缓存WSDL和XSD,提高服务的响应...
c#/.net微信APP支付服务端开发Demo
08-29
在本文,我们将深入探讨如何使用C#/.NET进行微信APP支付服务端开发,基于提供的标题和描述,我们可以...如果你在开发过程遇到问题,可以参考压缩包的资源,或者加入描述提到的群组,与其他开发者交流经验。
在线图书商城平台,资源由网络分享整理,如有侵权请联系我
07-23
网上书店系统是一个基于Web的应用程序,它允许用户在互联网上浏览、选购图书,并进行在线交易。这个系统通常由几个核心组件组成,包括前端用户界面、后台数据库管理、购物车功能、支付接口以及订单处理模块。下面我们将详细探讨这些知识点。 1. ASP.NET:ASP.NET是由微软开发一个用于构建动态网站、应用程序和Web服务的框架。它支持多种编程语言,如C#,提供了丰富的功能和工具,简化了Web应用的开发过程。在本系统,ASP.NET可能用于创建网页交互逻辑,处理用户请求并返回响应。 2. C#:C#是一种面向对象的编程语言,常用于构建Windows桌面应用和Web应用。在这个网上书店系统,C#可能被用来编写服务器端的业务逻辑代码,处理用户输入,访问数据库,以及与各种服务进行交互。 3. 数据库:数据库是存储网上书店系统所有数据的地方,包括书籍信息(如书名、作者、出版社、价格等)、用户信息、订单详情等。常见的数据库管理系统如MySQL、SQL Server或Oracle可能被用于存储和检索这些数据。开发者需要使用SQL语句来设计和操作数据库,确保数据的一致性和完整性。 4. 系统
html+js制作的网页计算机 可以实现加减乘除等运算
最新发布
07-23
大二下半学期的网页设计课程作业 html+js制作的网页计算机 可以实现加减乘除等运算
王江涛六级:完整齐全 课程+资料(百度网盘链接)
07-23
资料包含:讲义,规划导学,六级核心技巧讲解,水平测试解析,考前点睛,写译预测,高频核心词训练营,等等。
springboot整合MinIO间件,实现文件便捷管理
07-23
springboot整合MinIO间件,实现文件便捷管理
什么是java服务端开发
02-27
Java服务端开发是指使用Java语言进行服务器端应用程序开发。在Java服务端开发,通常使用Java的相关技术和框架来构建高性能、可扩展和可靠的服务器端应用程序。 Java服务端开发的主要特点包括: 1. 多线程处理:Java提供了多线程编程的支持,可以同时处理多个客户端请求,提高服务器的并发性能。 2. 网络编程:Java提供了丰富的网络编程API,如Socket、ServerSocket等,可以方便地进行网络通信。 3. 数据库访问:Java提供了JDBC(Java Database Connectivity)技术,可以连接各种数据库,并进行数据的读写操作。 4. 框架支持:Java有许多优秀的开源框架,如Spring、Hibernate、MyBatis等,可以简化开发过程,提高开发效率。 5. 安全性:Java提供了强大的安全性机制,可以对服务器端应用程序进行安全性保护,如身份验证、数据加密等。 在Java服务端开发常见的应用场景包括Web应用程序、分布式系统、云计算平台等。开发人员可以使用Java EE(Enterprise Edition)平台来构建企业级应用程序,也可以使用Spring等轻量级框架来构建小型应用程序
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值