java web项目安全设计

最新推荐文章于 2024-06-03 21:30:16 发布
最新推荐文章于 2024-06-03 21:30:16 发布
阅读量6k 收藏 16
点赞数 1
分类专栏: 设计与重构 文章标签: java web 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zclcqlove/article/details/79962270
版权

准备知识
BurpSuite工具–安全测试使用

安全设计要点

1、 使用https协议访问
2、 登录页面密码输入框关联密码控件&键盘–敏感信息加密传输至后台,防止中途被截取
3、登录页面增加一次性图形验证码–仅能验证一次,验证后从session立即删除该key
4、禁止同一账户多处登录–以shiro框架做权限管理为例,实现方式参考我的另一篇文章《shiro框架实现单点登录》
5、sessionId不能固定–shiro框架有sessionId固定问题,有安全隐患,解决方法如下

         // 丢弃老的session,重新登录生成sessionID,解决session fixed问题
            session.stop();
            user.login(token);

6、短信防止频繁发送(短信防重放)
恶意用户获取短信接口,可通过重放数据包,实现短信无限制发送,可能造成严重后果。
解决方法:将手机号放进缓存中,设置有效期一分钟(具体有效期以业务需求为准)
7、权限设计到按钮级别
避免不要过粗,尽量将权限细化到按钮级别,便于控制不同角色的权限
8、业务上注意防止越权操作
校验需要操作的数据所有权是否跟当前登录用户的一致
9、上传文件避免存储型XSS
例如上传excel文件,恶意用户在excel的几个字段中添加js代码:,可能造成严重后果。
解决方法:使用正则表达式等方法严格校验用户输入的内容是否符合参数格式&内容要求.
10、防止CSRF
例如修改密码功能:恶意用户可以构造相应的html页面,供用户访问,用户一旦访问到该URL,便会使用自己浏览器中的cookie向服务器发送修改密码的请求。
例如:
某用户登陆帐号后,访问我们构造的网站
这里写图片描述

网页源代码如下:
这里写图片描述

点击submit request后,即可成功修改了自己的密码:
这里写图片描述

11、文件上传时,尽量做病毒扫描

大白兔小喵咪
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
java web项目 .zip
01-12
软件开发设计:应用软件开发、系统软件开发、移动应用开发、网站开发C++、Java、python、web、C#等语言的项目开发与学习资料 硬件与设备:单片机、EDA、proteus、RTOS、包括计算机硬件、服务器、网络设备、存储设备...
经验分享:如何让自己的项目安全性更高
2301_80906056的博客
01-28 494
web安全
详解Java项目安全方向解决方案
左安青的博客
05-23 2309
Java项目开发中,安全方向主要包括以下几个方面:认证、授权、加密、防火墙、日志管理、漏洞扫描和安全审计等。下面我分别对这几个方面进行详解,并提供解决方案来确保Java项目的安全
构建一个java项目,对于安全方面,需要哪些业务模块
最新发布
zbh1957282580的博客
06-03 886
构建一个Java项目时,安全方面需要考虑多个业务模块,以确保系统的安全性和数据的完整性。
java web系统的常见安全问题
JAVA领域优质创作者,基于分片网络查询方法专利发明者。
12-11 1580
java开发的系统在发布到互联网后都需要进行安全扫描,本文主要总结开发web系统需要注意的与系统安全相关的问题。因为在做需求开发时,很少产品会将系统安全的因素考虑在内,总觉得实现个需求很简单,就是一些页面,一些接口。以至于在构筑安全的逻辑上没给工时,开发人员也没想太多去实现这些有必要有看不见的东西。所以一般就变成了系统上线后,发现安全问题,再返工补漏洞的现象。显得非常不专业。
JavaWeb安全与防护
禅与计算机程序设计艺术
01-18 1035
1.背景介绍 JavaWeb安全与防护是一项至关重要的技术领域。随着互联网的发展,JavaWeb应用程序的规模不断扩大,其安全性也成为了关键的考虑因素。JavaWeb安全与防护涉及到多个领域,包括网络安全、应用安全、数据安全等。本文将从多个角度深入探讨JavaWeb安全与防护的核心概念、算法原理、实例代码以及未来发展趋势。 2.核心概念与联系 JavaWeb安全与防护的核心概念包括: 网...
java系统安全架构设计,【金九银十】
m0_61549740的博客
03-03 1164
即使是面试跳槽,那也是一个学习的过程。只有全面的复习,才能让我们更好的充实自己,武装自己,为自己的面试之路不再坎坷!今天就给大家分享一个Github上全面的Java面试题大全,就是这份面试大全助我拿下大厂Offer,月薪提至30K!我也是第一时间分享出来给大家,希望可以帮助大家都能去往自己心仪的大厂!为金三银四做准备!
基于java web技术的毕业设计商城项目
08-17
《基于Java Web技术的毕业设计商城项目》 本项目是一个基于Java Web技术的毕业设计,旨在为学生提供一个实际的电子商务平台开发经验。这个商城项目不仅涵盖了基础的网上购物功能,还涉及到了许多Web开发的核心技术...
java web项目 银行信贷系统
01-18
Java Web项目:银行信贷系统】是一个全面的软件解决方案,专为银行和其他金融机构设计,用于管理信贷业务流程。该项目基于Java技术栈,结合了后端处理、前端展示以及数据库存储等多个层面,为用户提供了一个功能...
Java Web 开发示范项目.zip
01-12
软件开发设计:应用软件开发、系统软件开发、移动应用开发、网站开发C++、Java、python、web、C#等语言的项目开发与学习资料 硬件与设备:单片机、EDA、proteus、RTOS、包括计算机硬件、服务器、网络设备、存储设备...
JAVA web项目 购物系统 毕业设计
04-05
JAVA Web项目购物系统毕业设计】是一个典型的基于JAVA技术实现的网上购物平台,适用于学生进行毕业设计实践。这个项目的核心是构建一个完整的电子商务系统,它涵盖了用户管理、商品展示、购物车、订单处理、支付...
安全系统设计实例java源代码
04-10
1、随着当前信息系统的规模和复杂度的不断增加,人们对系统的安全性要求越来越高。然而构建系统的程序员往往对信息安全以及网络安全缺乏必要的知识和意识,因而在开发过程中也会不自觉地引入很多安全漏洞。对于上万行甚至十万行以上的程序代码,人工手动的漏洞排查显然是低效和易错的,在这种情况下,自动检测源代码安全性的分析工具就显得非常必要和紧迫了。 2、安全系统设计实例java源代码
统一WEB系统中的安全权限模块设计
06-30
为了统一WEB系统中的安全权限模块,以满足不同系统用户的需求并将该模块部分设计成统一的、稳定的、标准的、功能完善的后台配置权限管理工具,降低多个软件项目及多个项目组的开发成本、维护成本、项目实施成本,项目管理成本,提高工作效率,节省开发周期及开发费用投入,减少相应的测试维护改进功能的时间成本,同时可以减少由于开发人员变动带来的项目风险。通过不断对其完善,力争形成一套通用、灵活、完全可复用且易嵌入应用系统的组件模块。
JavaWeb应用安全(图片)
01-05
JavaWeb安全篇 1.后门 2.BS数据交互 3.Server 4.Sql注入 5.程序架构与代码审计 6.MVC安全 ........
Java代码安全设计-设计模式-装饰模式
Margin的博客
04-22 196
- 为什么要使用装饰模式 - 什么是装饰模式 - JavaSE装饰模式的应用 - Struts2装饰模式的应用
10 个 Java 安全最佳实践
allway2的博客
08-05 1620
根据 OWASP,用于防止 XSS 的规则 #0 是“永远不要插入不受信任的数据,除非在允许的位置”。更重要的是,Java 提供了可以做令人讨厌和意想不到的事情的 API。XXE 攻击是 OWASP 前 10 名列表的一部分,并且是我们需要防止的 Java 安全漏洞,这并不奇怪。您可能认为此类攻击是不可能的,因为您的类路径中需要有一个易受攻击的类。Snyk 还通过确保对您的存储库提出的任何未来拉取请求进行自动测试(通过 webhook)来保护您的环境,以确保它们不会引入新的已知漏洞。这可以防止反序列化。..
JavaWeb】浅谈接口安全设计指南(含源码)
墩墩分墩
02-25 1491
### 1.数据加密 我们知道数据在传输过程中是很容易被`抓包`的,如果直接传输比如通过`http协议`,那么用户传输的数据可以被任何人获取,所以必须对数据加密。常见的做法对关键字段加密,比如:用户密码直接通过md5加密。 - 现在主流的做法是使用`https协议`,**在http和tcp之间添加一层加密层**`(SSL层)`,这一层负责数据的加密和解密; ### 2.数据加签 数据加签就是由发送者产生一段无法伪造的一段数字串,来保证数据在传输过程中防止被抓包篡改。 你可能会问数据如果已经通过`http
Java学习指南》—— 1.4 设计安全
weixin_34379433的博客
05-02 196
本节书摘来异步社区《Java学习指南》一书中的第1章,第1.4节,作者:【美】Patrick Niemeyer , Daniel Leuck,更多章节内容可以访问云栖社区“异步社区”公众号查看。 1.4 设计安全 Java设计为一种安全语言,对于这一事实你肯定早已耳熟能详了。但是在此“安全”指的是什么呢?对什么而言安全,或者对谁安全呢?对于Java,得...
java web项目
05-11
Java Web项目是指使用Java技术开发的,能够在Web环境中运行的应用程序。Java Web项目通常使用Java Servlet技术、JavaServer Pages(JSP)技术、JavaServer Faces(JSF)技术、Spring MVC等技术来实现Web应用程序。 Java Web项目通常包含以下组件: 1.前端界面:通常是由HTML、CSS和JavaScript等前端技术编写而成,用于与用户交互。 2.Servlet:Java Servlet是一个基于Java语言的Web组件,它可以接收和响应HTTP请求。 3.JSP:JavaServer Pages是一种基于XML的Web编程技术,它允许开发人员将Java代码嵌入到HTML页面中。 4.JavaBean:JavaBean是一种可重用的Java组件,通常用于处理业务逻辑。 5.数据库:通常使用关系型数据库(如MySQL、Oracle等)来存储数据。 6.应用服务器:Java Web应用程序需要在应用服务器(如Tomcat、Jetty、WebLogic等)中运行。 开发Java Web项目需要掌握Java编程语言、Java Web开发框架(如Spring MVC、Struts2等)、数据库管理系统(如MySQL、Oracle等)以及Web前端技术(如HTML、CSS、JavaScript等)。同时,还需要了解Web应用程序的架构设计、性能优化和安全防护等方面的知识。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值