初学JAVA项目(12、Adamall)

最新推荐文章于 2024-06-15 15:22:21 发布
最新推荐文章于 2024-06-15 15:22:21 发布
阅读量208 收藏
点赞数
分类专栏: 初学者系列 文章标签: 安全 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43878913/article/details/117902002
版权

初学JAVA项目(12、Adamall)

一、前端安全

1.浏览器同源政策

     同源政策是浏览器的一个安全政策

  • 目的:是为了防止将用户信息恶意的盗取传输
  • 同源含义:域名(IP),协议头, 端口三者相同
  • MDN同源政策的内容:
    1.通常允许跨域写操作 :重定向以及表单提交。
    2.通常允许跨域资源嵌入:script\link\img\video\iframe
    3.不允许跨域读操作: ajax
URL结果原因
http://store.company.com/dir2/other.html同源只有路径不同
http://store.company.com/dir/inner/another.html同源只有路径不同
https://store.company.com/secure.html失败协议不同
http://store.company.com:81/dir/etc.html失败端口不同 (http://默认端口是80)
http://news.company.com/dir/other.html失败主机不同

     不允许跨域读操作, 那么就代表了有三种操作会受到同源政策的限制。

     即不同源网站间的AJAX的请求,网站间的DOM操作,以及两者间的cookie和indexDB之间的访问。

     即同源政策通过限制你获取当前用户记录在其他源下的cookie等

     记录在浏览器端的用户数据,以及限制了使用AJAX发送数据到其他的源的方式,以此来保障安全。

2.CORS

  • CORS - Cross Origin Resourse-Sharing - 跨站资源共享

     由于浏览器的安全策略——同源政策,进行web开发经常会遇到跨域问题.

     于是在XMLHttpRequest v2标准下,提出了CORS(Cross Origin Resourse-Sharing)的模型,试图提供安全方便的跨域读写资源。目前主流浏览器均支持CORS。

     CORS定义了两种跨域请求,简单跨域请求非简单跨域请求

1、CORS 请求类型

  • 简单跨域请求:请求方法为HEAD,GET,POST;请求头只有4个字段,Accept,Accept-Language,Content-Language,Last-Event-ID;
    如果设置了Content-Type,则其值只能是application/x-www-form-urlencoded,multipart/form-data,text/plain。
  • 非简单请求:不满足简单跨域请求的请求;

2、CORS CORS流程

     浏览器对简单请求和非简单请求的处理机制不一样。

     当我们需要发送一个跨域请求的时候,浏览器会首先检查这个请求,如果它符合上面所述的简单跨域请求,浏览器就会立刻发送这个请求。

     如果浏览器检查之后发现这是一个非简单请求,比如请求头含有X-Forwarded-For字段。这时候浏览器不会马上发送这个请求,

     而是有一个preflight,跟服务器验证的过程。如果预检通过,则发送这个请求,否则就不拒绝发送这个跨域请求。

浏览器和服务器的合作判定步骤如下:

  1. 浏览器先根据同源策略对前端页面和后台交互地址做匹配,若同源,则直接发送数据请求;若不同源,则发送跨域请求。
  2. 服务器解析程序收到浏览器跨域请求后,根据自身配置返回对应文件头。若未配置过任何允许跨域,则文件头里不包含Access-Control-Allow-origin字段,
    若配置过域名,则返回Access-Control-Allow-origin+ 对应配置规则里的域名的方式。
  3. 浏览器根据接受到的http文件头里的Access-Control-Allow-origin字段做匹配,若无该字段,说明不允许跨域;若有该字段,则对字段内容和当前域名做比对,
    如果同源,则说明可以跨域,浏览器发送该请求;若不同源,则说明该域名不可跨域,不发送请求

3.CORF

  • CSRF - Cross-Site Request Forgery - 跨站请求伪造

     同源政策通过限制你获取当前用户记录在其他源下的cookie等记录在浏览器端的用户数据,以及限制了使用AJAX发送数据到其他的源的方式,以此来保障安全。

     csrf利用的是同源政策允许跨域表单提交,以及允许跨域请求资源完成的攻击。

          
     

4.SQL注入

发生原因:

     SQL注入漏洞,主要是开发人员在构建代码时,没有对输入边界进行安全考虑,导致攻击者可以通过合法的输入点提交一些精心构造的语句,从而欺骗后台数据库对其进行执行,导致数据库信息泄漏的一种漏洞。
在这里插入图片描述
     比如我们期望用户输入整数的id,但是用户输入了上图中下面的语句,这是条能被正常执行的SQL语句,导致表中的数据都会输出。

SQL注入攻击流程

第一步:注入点探测

自动方式:使用web漏洞扫描工具,自动进行注入点发现
手动方式:手工构造SQL注入测试语句进行注入点发现

第二步:信息获取

通过注入点取得期望得到的数据

1.环境信息:数据库类型,数据库版本,操作系统版本,用户信息等
2.数据库信息:数据库蜜罐,数据库表,表字段,字段内容等(加密内容破解)

第三步:获取权限

获取操作系统权限:通过数据库执行shell,上传木马

实例:https://www.cnblogs.com/dogecheng/p/11616282.html

会游泳的皮皮猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
70多套java必练项目,适合小白上手!
孙叫兽的博客
01-20 3万+
导读:这些项目不管是找工作练手,还是公司使用当作模板进一步改进,亦或者是当作毕业设计,都很有借鉴意义! 编译器建议使用:IDEA,Myeclipse,eclipse,HB-X等都可以。 数据库建议使用,mysql,oracle,sqlsever 数据库工具建议使用:SQLyog,navicate 目录 项目截图: 项目地址: java实现银行柜员业务绩效考核系统 java实现挖掘机配件营销系统 Java实现酒店管理系统 Java停车场管理系统 Java实现的健身俱乐部会员系统..
适合Java初学者的项目
MAGIC_LAN的博客
08-04 8291
一直在找这样的项目,准备作为个人项目,找工作时候的谈资:贯穿整个java知识点的,用到ssh,或者ssm框架,这样就可以让自己对java有一个整体的,清晰的认识。什么OA人事管理系统,什么ERP系统,找出来都不太是适合我,后来真的被我找到一个项目,它是一个很用心的自学网站。网站分为一个个小的学习模块,有视频教学,还有题目和答案,让你动手边学边做。以下部分都做成了一个独立的项目,下载后运行可以直接看...
适合Java初学者练习的项目
ZeroWdd的博客
07-10 3万+
这里写自定义目录标题欢迎使用Markdown编辑器新的改变3. 学生管理系统4. 后台管理系统脚手架5. 仿小米商城6. 秒杀系统7. 小结 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Markdown编辑器, 可以仔细阅读这篇文章,了解一下Markdown的基本语法知识。 新的改变 我们对Markdown编辑器进行了一些功能拓展与语法支持,除了标准的Markdown编辑器功能,我们增加了如下几点新功能,帮助你用它写博客: 全新的界
java项目源码分享——适合新手练手的java项目
热门推荐
刘成
03-16 14万+
源码下载(实例一):jsp开发完整的博研图书馆后台管理系统,不使用框架开发的,太完美了 源码下载(实例二):javaWeb图书馆管理系统源码mysql版本 源码下载(实例三)GitHub - uboger/LibraryManager: JAVA GUI 图书馆管理系统 源码下载(实例四):java swing开发企业人事管理系统源代码下载 源码下载(实例一):java swing开发网...
java简单小项目_java入门简单小项目有哪些?适合java初学项目
weixin_28729843的博客
02-12 5492
作为一名初学Java者,一定要多练习多实操才会增强java技能,毕竟这样可以加深你对技术理解,可是有哪些简单的小项目是可以做的呢?今天我们就来给大家分享一下。一、前端语言:HTML+CSS+JavaScript开发工具:webstorm/vscode调试器:Chrome1、学会HTML的常用标签、元素、以及它们的属性。2、学会CSS的基本语法、各种样式的使用,理解CSS的盒子模型、文档流,会用定位...
八个常见Java项目,献给初学编程的你!
程序员随笔
01-29 5760
如果你是正在学习Java初学者,或者打算转行学习Java编程的小白,那么你一定会对Java能够做什么项目一定很感兴趣。一定希望对Java能够实现哪些东西有所了解。 今天就为大家简单说一下一些可以用Java编程语言练手的项目。 0.计算器 可以用Java语言做一个手机上简单的计算器,可以做到加减乘除。而且这个功能很简单,几乎是很多学习Java编程的语言经常会去尝试的第一个小项目。虽然简单,可...
最详细的IDEA创建Java项目
小白白O快起来
12-29 2147
初学者学习使用IDEA
Java项目开发环境搭建
weixin_42408447的博客
05-11 4087
1.Idea(代码开发工具) IDEA 全称 IntelliJ IDEA,是java编程语言开发的集成环境。IntelliJ在业界被公认为最好的java开发工具,尤其在智能代码助手、代码自动提示、重构、JavaEE支持、各类版本工具(git、svn等)、JUnit、CVS整合、代码分析、 创新的GUI设计等方面的功能可以说是超常的。IDEA是JetBrains公司的产品,这家公司总部位于捷克共和国的首都布拉格,开发人员以严谨著称的东欧程序员为主。它的旗舰版本还支持HTML,CSS,PHP,MySQL,Pyt
推荐5个优秀的Java开源项目初学者友好
weixin_40733384的博客
12-03 3272
No.1 Halo 地址:https://github.com/halo-dev/halo Halo [ˈheɪloʊ],一个优秀的开源博客发布应用,值得一试。 Halo 是一个基于SpringBoot、Freemark 开发的个人博客系统,内置了一个 Admin后台,可以可视化的管理博客,不需要繁琐的配置,不需要操心各种主题之间的兼容性,容器化启动只需要执行一个命令,剩下的都是图形界面可以搞定的事情。 Halo 有简约的界面和良好的生态环境、社区环境,有问题可以求助于社区,但要注意提问的艺术噢。 另外 H
初学java项目需求文档
05-26
适用于初学java初学者,该文档是小项目需求文档,初学者可以根据需求文档开发自己的项目。技术要求:javaSE基础 、数据库Oracle或MySQL
java项目 适合初学
12-18
好不容易找到的15个适合初学者的小JAVA视频,里面有计算器什么的,挺不错的,适合新手练练手
110个java项目开源源码
04-14
110个java项目开源源码适合刚毕业的同学作为毕业设计练手学习,适合初学java的同学自己做项目练手。 110个java项目开源源码适合刚毕业的同学作为毕业设计练手学习,适合初学java的同学自己做项目练手 110个java项目...
初学Java飞机大战代码
05-02
初学Java跟着老师做的项目
java项目适合初学
11-15
java项目,适合初学者,注重循环结构的综合应用
打破安全设备孤岛,多源威胁检测与响应(XDR)如何构建一体化安全防线
安胜ANSCEN的博客
06-14 662
在企业常态化安全运营中,星盾多源威胁检测与响应(XDR)平台可灵活伸缩部署,融汇多源数据与能力,为安全运营团队提供统一的网络资产画像、自动化的威胁检测与响应、全面的安全态势、灵活可定义的指挥调度规范,助力企业建立高效的网络安全防御与响应体系。在网络安全防御体系的构建中,尽管部署了防火墙、入侵检测系统(IDS/IPS)、加密设备、网络流量分析工具等多种安全防御产品和措施,若这些产品之间无法进行有效的联动与协作机制,不仅降低了整体防护效果,还增加了管理的复杂性和成本。
《软件定义安全》之六:SDN和NFV安全实践
大龄IT民工
06-11 1451
DDoS检测清洗应用ADS APP的设计思路:借助安全控制平台中流相关的组件,从SDN控制器中获得相应的流量,并根据抗DDoS应用订阅的恶意流特征进行检测,发现恶意流量后,应用可根据细粒度的检测判断是否出现恶意攻击。如是,则下发实时清洗的流指令,即可将恶意流量牵引到清洗设备ADS上。过程如下:➊注册。启动阶段,ADS设备和ADS APP均向安全控制平台注册,提供自己的基本信息,如类型、位置和能力等。➋订阅。为获取并检查可疑流,ADS APP向安全控制器发送订阅。➌流统计获取和检查。
红队攻防渗透技术实战流程:中间件安全:IIS&NGINX&APACHE&TOMCAT
最新发布
HACKONE的博客
06-15 124
当存在漏洞的Tomcat运行在Windows/Linux主机上, 且启用了HTTP PUT请求方法( 例如, 将readonly初始化参数由默认值设置为false) , 攻击者将有可能可通过精心构造的攻击请求数据包向服务器上传包含任意代码的JSP的webshell文件,JSP文件中的恶意代码将能被服务器执行, 导致服务器上的数据泄露或获取服务器权限。其2.4.0~2.4.29版本存在一个解析漏洞,在解析PHP时,1.php\x0A将被按照PHP后缀进行解析,导致绕过一些服务器的安全策略。
厨房燃气安全新保障:红外点式可燃气体报警器的作用
BDjiance的博客
06-13 507
与传统的可燃气体报警器相比,点式报警器具有更高的灵敏度和更快的响应速度。通过实时监测空气中的可燃气体浓度,并在发现异常时及时发出报警信号,它有效降低了燃气泄漏和火灾事故的发生概率。同时,红外技术的应用也使得报警器具有更高的检测精度和更快的响应速度,为家庭安全提供了更加可靠的保障。例如,在某小区的居民家中,由于燃气灶使用不当导致燃气泄漏,幸运的是,家中安装了红外可燃气体报警器。其中,燃气泄漏和火灾是厨房安全的主要隐患。近年来,红外可燃气体报警器因其独特的点式报警和红外技术优势,逐渐成为厨房安全的新守护。
java初学者练手项目
11-30
以下是几个适合Java初学者练手的项目: 1. 学生信息管理系统:实现学生信息的增删改查,包括学生的基本信息、成绩等。 2. 图书管理系统:实现图书的增删改查,包括图书的基本信息、借阅情况等。 3. 在线考试系统:...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值