org.apache.commons.lang.stringescapeutils 進行輸入框內容處理 [stringescapeutils.escapesql(str);stringescapeutils.escapehtml(str)]
1、跨站指令碼攻擊(cross site scripting)
-解決方案-
xss之所以會發生,是因為使用者輸入的資料變成了**,因此需要對使用者輸入的資料進行html轉義處理,將其中的「尖括號」,「單引號」,「雙引號」之類的特殊字元進行轉義編碼。
2、sql注入
報錯時,盡量使用錯誤頁面覆蓋堆疊資訊
13、跨站請求偽造(cross-site request forgery)-解決方案-<
error-page
>
2<
error-code
>400
error-code
>
3<
location
>/error400.jsp
location
>
4error-page
>
1、將cookie設定為httponly
server.xml如下配置
1web.xml如下配置<
context
docbase
="專案"
2、增加token
表單中增加乙個隱藏域,提交時將隱藏域提交,服務端驗證token。
3、通過referer識別
根據http協議,在http頭中有乙個欄位交referer,它記錄了http請求的**位址。如果攻擊者要實施csrf攻擊時,必須從其他站點偽造請求,當使用者通過其他**傳送請求時,請求的referer的值是其他**的**。因此可以對每個請求驗證其referer值即可。
4、檔案上傳漏洞
在網上經常會操作,上傳、檔案到服務端儲存,這時候,如果沒有對檔案做正確的校驗,會導致一些惡意攻擊者上傳病毒,木馬,外掛程式等等到伺服器,竊取伺服器資訊,甚至導致伺服器癱瘓。
因此需要對上傳的檔案進行校驗,很多檔案起始的幾個位元組是固定的,因此,根據這幾個位元組的內容,就可以判斷檔案的型別,這幾個位元組也被稱作魔數。
設定型別白名單
docker remote api 的安全隱患
開啟docker的api,首先要知道docker的守護程序daemon,在下認為daemon作為client和service連線的乙個橋梁,負責代替將client的請求傳遞給service端。預設情況daemon只由root控制,但我們可以通過 h繫結到埠上,這樣通過埠訪問的方式執行命令。我用的是u...
多執行緒的安全隱患
資源共享 1塊資源可能會被多個執行緒共享,也就是多個執行緒可能會訪問同一塊資源 比如多個執行緒訪問同乙個物件 同乙個變數 同乙個檔案 當多個執行緒訪問同一塊資源時,很容易引發資料錯亂和資料安全問題 解決方法是互斥鎖 互斥鎖使用格式 synchronized 鎖物件 注意 鎖定1份 只用1把鎖,用多把...
安全隱患一則
今天閒極無聊,發現一事,於是無限放大進行想象,覺得中國的網路安全事業目前還沒起步,特別記錄下來以提醒自己。也想藉此提醒各大老闆,點錢之餘,勿忘安全。故事背景 閒的沒事,登上一台手裡管理的伺服器轉悠,突發奇想,看看登入isp所提供的閘道器是什麼情況,於是就telnet,於是就telnet上去了,瞬間驚...