咨詢
交流群
電話

安全策略

SQL注入

使用JPA作為持久化層,不使用SQL拼裝,從源頭杜絕SQL注入的可能。

跨站腳本攻擊(XSS)

在所有模版中對輸出的內容做HTML轉義,防止跨站腳本攻擊。

失效的身份認證和會話管理

記錄所有登錄成功和登錄失敗的日志,助于排查可以登錄操作;登錄失敗超過3次(可設置)后須提供驗證碼才能繼續登錄,防止暴力嘗試密碼;瀏覽器關閉或停止操作20分鐘后Session自動過期;可以禁用可疑賬戶,阻止其繼續登錄。

會話固定攻擊(Session Fixation Attack)

用戶登錄后會自動銷毀登錄前的會話ID,避免固定會話攻擊。

暴露敏感數據

數據庫保存用戶密碼時,不直接保存明文,而是對密碼進行sha1+salt加密。這樣即使獲取到數據庫中密碼字段的數據,也無法得到真正的密碼。

不安全的直接對象引用

用戶訪問具體數據時,對引用的數據進行權限判斷,不允許訪問未經授權的數據。

函數級訪問控制缺失

對需要權限的操作都進行權限判斷,而不僅僅控制可見的用戶界面。

未驗證的重定向

程序在做重定向時,檢查重定向地址是否合法,禁止重定向至系統外的URL地址。

存在漏洞的組件

系統使用安全記錄良好的組件,并及時更新,避免因使用的組件出現漏洞而遭受攻擊。

大埔区| 平遥县| 龙海市| 新密市| 沂南县| 格尔木市| 乐亭县| 平乡县| 永济市| 仁化县| 双城市| 贡嘎县| 浙江省| 银川市| 新营市| 沂源县| 三穗县| 濮阳县| 简阳市| 天全县| 正阳县| 西华县| 务川| 桂东县| 浦江县| 永新县| 广南县| 晋中市| 内乡县| 泰顺县| 富川| 鄂州市| 北宁市| 凤山县| 巴塘县| 舟曲县| 将乐县| 青田县| 广昌县| 滦平县| 封开县|