JavaEE(二)---Web 应用程序安全性问题及基本安全实施策略

最新推荐文章于 2024-04-30 11:16:03 发布
最新推荐文章于 2024-04-30 11:16:03 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: JavaWeb开发 文章标签: Web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014656992/article/details/50834674
版权

注:本文是答9.web中安全性问题的考虑,如何防止 的,仅为了自己学习,向原博主致敬。

原博文网址:http://www.cnblogs.com/sunniest/p/4646515.html

一、运行时Web应用程序安全性问题:
在开发应用程序时,必须处理一组安全性问题。
另一组安全性问题则与应用程序在部署和运行时的安全性有关。
按照其定义,Web应用程序允许用户访问中心资源(即Web服务器)并通过此中心资源访问其他资源(如数据库服务器)。当了解并实现正确的安全性措施后,您将:
1.保护自己的资源不受未经授权的访问。
2.按用户或角色限制访问级别。
3.确保数据完整性和保密性,以提供一个用户能够在其中放心使用应用程序的相对安全的环境。
4.建立对应用程序访问受限制资源的方式的控制。
5.确保应用程序的代码按预定方式运行。

二、Web 应用程序的基本安全实施策略:
   a.经常进行备份,并将备份存放在安全的场所。
   b. 关闭不使用的端口并关闭不使用的服务。
  c . 使用防火墙。
2.防止恶意用户的输入:
  a. 决不回显(显示)未经筛选的用户输入。
  b. 切不可将未经筛选的用户输入存储在数据库中。
3.安全的访问数据库:
  a. 使用数据库的内在安全性来限制可以访问数据库资源的人员。
4. 创建安全的错误消息:
    如果您不小心,恶意用户就可以从应用程序显示的错误消息推断出有关您的应用程序的重要信息。请遵 循这些指导:
   a. 不要编写会回显可能对恶意用户有用的信息(例如用户名)的错误消息。
  b. 将应用程序配置为不向用户显示详细错误。
  c. 对于容易发生错误的情况(如数据库访问)创建自定义错误处理方式。
5. 安全地使用 Cookie:
  a. 不要将任何关键信息存储在 Cookie 中
  b. 将 Cookie 的过期日期设置为可接受的最短实际时间。尽可能避免使用永久 Cookie。
  c. 考虑对 Cookie 中的信息加密。
6.防止拒绝服务威胁:
  a. 使用错误处理(例如,try-catch)。包含 finally 块,以便万一失败就可以在其中释放资源。
  b. 在使用或存储用户输入之前,测试它的大小限制。
  c. 对数据库查询的大小加以限制以确保安全。例如,在 ASP.NET 网页中显示查询结果之前,请确保包含的记录数是合理的。
  d. 如果文件上载是您的应用程序的一部分,则对它们的大小加以限制。     
    
xiaoyu-Wang
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
javaee-pac4j security library
12-29
它被设计为与Java Enterprise Edition(JavaEE)无缝集成,简化了在Web应用程序实施安全性的过程。Pac4J框架支持多种认证协议,如OAuth、OpenID Connect、CAS、HTTP基本和摘要认证等,这使得开发人员可以轻松地...
JavaWeb 项目安全问题及其解决方案
sudo_Shutdown的专栏
08-01 7506
1.弱口令漏洞 解决方案:最好使用至少6位的数字、字母及特殊字符组合作为密码。数据库不要存储明文密码,应存储MD5加密后的密文,由于目前普通的MD5加密已经可以被破解,最好可以多重MD5加密,或者多种加密方式叠加组合。 2.未使用用户名及密码登录后台可直接输入后台URL登录系统。 解决方案:通过配置filter来过滤掉无效用户的连接请求。 3.JSP页面抛出的异常可能暴露程序信息。有经验的
Java web 安全
胡汉三
07-07 1316
随着近年来各种安全问题层出不穷。客户的安全意识也得到了不少的提升。说一件本人遇到的吧、公司的服务被人删库了、比特币勒索。真的是删除的干干净净、就剩下一张表、里面的内容就是往指定的账号打比特币。也不敢真打......只能联系云运营商、通过镜像备份恢复了某一时段的数据。至今到底是哪里出了问题也不清楚。 直到后续各种json工具包的反序列化不断爆出漏洞、spring、就连spring security也不能幸免。最离谱的就是log4j了。现在想起来、这些漏洞应该早就掌握在黑客的手中了、相当于0day
详解Java如何应对常见的安全威胁和攻击类型
最新发布
韩束一叶子
04-30 503
随着信息技术的快速发展,网络安全问题日益突出。网络通信是信息交流的重要手段,它的安全性直接关系到社会安全和国家利益。网络协议作为网络通信的基础,其安全性问题尤为重要。本文将以Java开发语言为例,深入探讨网络协议的安全性问题。通过分析常见的安全威胁和攻击类型,设计和实施安全协议,保护网络通信的机密性、完整性和可用性等主题,为读者提供一些有益的思路和方法。本文主要从网络协议的安全性入手,分析常见的安全威胁和攻击类型,并介绍如何通过设计和实施安全协议来保护网络通信的机密性、完整性和可用性。
Java开发必知的web安全常识
lonelymanontheway的博客
01-20 1964
目录 安全 定义 攻击 攻击分类 常见的Web攻击 SQL注入攻击 XSS攻击 CSRF攻击 传输劫持 文件上传漏洞 访问控制 DDOS攻击 SYN攻击 ...
java开发安全性问题_JAVA进行web开发安全问题
weixin_42512966的博客
02-16 671
一共有四种,分别是XSS攻击(关键是脚本,利用恶意脚本发起攻击),SQL注入(关键是通过用SQL语句伪造参数发出攻击),DDOS攻击(关键是发出大量请求,最后令服务器崩溃),CSRF攻击(关键是借助本地cookie进行认证,伪造发送请求)。1. XSS1.1 什么是XSS?XSS攻击:跨站脚本攻击(Cross-Site Scripting),为了不和层叠样式表(Cascading Style Sh...
Java Web 安全:防御 XSS, CSRF 与 SQL 注入的最佳策略
m0_57781768的博客
09-28 679
在我们探讨解决方案之前,首先了解一下常见的 Web 攻击有哪些是非常重要的。Web 攻击通常是指攻击者试图在 Web 应用程序中执行未授权的行为的行动。常见的 Web 攻击有:XSS(跨站脚本攻击)、CSRF(跨站请求伪造)和 SQL 注入。
E-commerce site using javaEE.zip
12-29
JavaEEJava Platform, Enterprise Edition)是Java平台的一个版本,特别为开发企业级应用而设计,包括诸如电子商务网站这样的分布式应用程序。 首先,JavaEE提供了丰富的组件模型,如Servlet、JSP(JavaServer ...
大数据211&212-javaee项目实践.zip
12-28
10. **安全性和稳定性**:了解在大数据环境和Java EE应用中实施安全性策略,以及如何保证系统的高可用性和容错性。 在实际操作中,你可能需要配置Hadoop和Spark集群,编写Java代码实现业务逻辑,设计和实现Web应用...
JavaEESecurityExample:Java EE 和 Shiro 安全示例
05-31
Java EE中,安全性是一个至关重要的方面,它确保了应用程序的数据和功能只被授权的用户访问。Apache Shiro是一个流行的Java安全框架,它简化了身份验证、授权、加密和会话管理。 这篇教程“JavaEESecurityExample...
带有权限控制机制的JAVAEE基本框架.zip
12-29
例如,使用Servlet的`<security-constraint>`和`<login-config>`元素配置Web应用的安全策略。 3. **JAAS(Java Authentication and Authorization Service)**: - JAAS是Java平台的一个组件,用于实现认证和授权...
JavaWeb应用的安全性分析及对策
07-31
JavaWeb应用的安全性分析及对策,对web安全做了一些描述
java web系统的常见安全问题
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-11 1605
java开发的系统在发布到互联网后都需要进行安全扫描,本文主要总结开发web系统需要注意的与系统安全相关的问题。因为在做需求开发时,很少产品会将系统安全的因素考虑在内,总觉得实现个需求很简单,就是一些页面,一些接口。以至于在构筑安全的逻辑上没给工时,开发人员也没想太多去实现这些有必要有看不见的东西。所以一般就变成了系统上线后,发现安全问题,再返工补漏洞的现象。显得非常不专业。
Java代码漏洞检测-常见漏洞与修复建议
晨港飞燕的专栏
11-19 6401
在工作中,我们的交付团队在交付项目时,可能会遇到甲方会使用一些第三方工具(奇安信等)对项目代码进行扫描,特别是一些对安全性要求比较高的企业,比如涉及到一些证券公司、银行、金融等。他们会在项目上线前进行代码安全检测,通过了对方才会发布上线。原文链接:https://blog.csdn.net/qq_39560975/article/details/131956264。
JAVA开发(web常见安全漏洞以及修复建议)
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
01-12 2016
web常见安全漏洞以及修复建议
J2ee Web系统安全性的考虑
Concentrating on Architectures
10-25 3588
  Web系统安全性的考虑有以下几个方面:1.       登陆验证码。利用一个servlet随机产生一个验证码,由于验证码是机器随机产生的,因此暴力破解程序无法预料到具体是什么,所以可以防止暴力破解。2.       登陆身份验证。系统的每个功能都必须经过身份验证后才能访问,没有认证的请求会被过滤掉,这是最基本安全要求:1,       所有功能都通过Struts的Acti
Java工程师应该知道的Web安全
slw20010213的博客
12-03 3766
Java开发很大的一个应用场景就是Web,即使不是Web, 很多时候也是采用的和Web类似的处理方式。因此了解目前常见的Web安全问题并做防范是非常关键的。 Web安全问题,从大的方面可以分为: 客户端安全:通过浏览器进行攻击的安全问题。 服务端安全:通过发送请求到服务端进行攻击的安全问题。 常见的客户端安全问题有: 跨站脚本攻击 跨站点请求伪造 常见的服务端安全问题有: SQL注入 基于约束条件的SQL攻击 DDOS攻击 Ses
Web容器安全管理(上)——Java EE的安全概念
Hopefully Sky的博客
06-11 1772
每个人都知道安全(Security)很重要,特别是在应用程序发布到网络上之后,安全就更为重要了,但要实现安全管理,问题却很多。原因之一是安全观念及意识不是朝夕即可养成;是实现时的各种疏忽。   到目前为止,Web容器已经实现了许多功能,而在安全这方面,容器也提供了机制来满足安全基本需求,当没办法做得更好时,适当地使用容器进行安全管理不仅方便,而且有一定的防护效果。   为了更好地了解并实现Web
JavaEE云存储网盘开发手册-Cloud-SaaS-Web-v2.0
"先电云计算软件服务-云存储网盘JavaEE网络应用开发手册-Cloud-SaaS-Web-v2.0.pdf",该资源详细介绍了基于JavaEE技术平台的云存储网盘应用的开发流程,涵盖了从开发环境的搭建到功能实现的全方位指导。 在手册中,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值