安全漏洞修复
安全漏洞,故名思意就是可能对系统造成安全隐患的漏洞,往往是开发人员在日常开发过程中遗漏或者考虑不周造成的潜在风险。继而,对于安全漏洞的修复,往往是一件很头疼的事情,因为有时,你往往不知道,这个漏洞在哪,如何去发现它,就算是发现了它,也对修复它无从下手。下面我就我项目中遇到的安全漏洞以及我的修复措施进行描述。希望对大家有帮助。
一、错误信息显示
这个安全漏洞的意思是在web应用中,一些后台的错误信息可能会被打印到页面上。而这些堆栈信息一旦被入侵者利用,在网站上植入恶意代码,就可以利用该漏洞进行任意代码执行,进而导致服务器遭到入侵,数据遭到盗取。
修复这类漏洞,其实也很简单,只需要在web应用报错时,进行拦截,然后让其跳转到500页面即可。
二、前端页面未授权访问
这个漏洞的意思是在web应用中,一般业务逻辑都是在js里的,如果在访问web应用时,禁用掉浏览器的js,就有可能跳过登录直接通过地址查看web应用页面。入侵这就会利用这些页面所暴漏出来的接口对应用进行爆破,进而对系统安全造成危害。
修复这类漏洞,其实也很简单,在web.xml中加一个过滤器(filter),这个过滤器的功能就是对所有访问web应用服务器的请求进行拦截,判断是否用户已经登录成功,如果没有登录成功,就直接跳转到登录页面。
三、点击劫持
点击劫持(Clickjacking)技术又称为界面伪装攻击(UI redress attack),是一种视觉上的欺骗手段。攻击者使用一个透明的iframe覆盖在正常的网页上,然后诱使用户在该网页上操作, 虽然受害者点击的是他所看到的网页,但实际上他所点击的是被攻