文档章节

安全性

Freonever
 Freonever
发布于 2014/05/08 14:18
字数 571
阅读 17
收藏 1

那么如何在开发的时候就能够很好地规避安全问题呢?(需求与报价阶段就应该和客户谈清楚,本文从略)

下面从几个能够被攻击的角度进行说明:

 

1. SQL注入

    A. 采用preparedSQL的方式传递参数。

    B. 避免社会学猜测,比如密码字段名不叫做password,pswd等容易被猜测的名称。

 

2. 垃圾数据

    A. 后台对于所有的可输入项的数据进行校验,包括采用Radio和DropDown构建的组件。

 

3.防止URL滥用

    A.明确标记GET和POST

 

4.防止批量删除数据

     A. 采用权限校验

     B.只提供每次删除一条数据的操作

 

5. CSRF攻击

    A.在HTML代码中书写CSRF禁用代码

          <meta content="authenticity_token" name="csrf-param" />
          <meta content="<<略>>" name="csrf-token" />

 

6.WebService匿名访问

   A. WebService的每个访问都需要经过认证

   B. 每次认证需要有时效性

   C. 认证通过认证码进行

 

7.防止密码泄露

   A. 不在页面显示密码,不在隐含域,HTML注释,JavaScript中显示密码

   B. 不用明文传输密码

   C. 采用较强的密码策略

   D. 不用员工编号作为ID,或者姓名全拼、简拼的方式

   E. 每个人的初试密码不同,并采取暗文抄送的方式

   F. 不提供取回密码功能,只提供更改密码功能,通过有时效的URL进行处理

   G. 不会将密码发送到邮件中去

   H. 不要在Log中记录密码

 

8. 邮件服务器滥用

    A. 必须有用户名密码

    B. 只允许来自固定IP的访问

 

9. 数据库泄露

     A. 删除默认账户

     B. 修改数据库端口

     C. 数据库名称不容易被猜测

     D. 只允许来自固定IP的访问

 

10. 文件未经授权下载

     A. 下载文件的目录不能够通过URL直接访问

     B. 文件下载前必须经过权限认证

 

11. URL泄露

    A. 没有权限操作的按钮不显示出来,并且相关的JavaScript也应该不出现

 

12. StackTrace泄露

   A.不要为了维护方便而将Exception的StackTrace输出到页面上

 

13.

本文转载自:

Freonever

Freonever

粉丝 7
博文 43
码字总数 6477
作品 0
南京
程序员
私信 提问
斯雪明教授:如何应对高发的区块链安全问题?

在近日上海召开的区块链应用(DApp)研讨会上,中国科学数据处理(SDP)联盟执行委员会主任、上海市数据科学重点实验室副主任、解放军信息工程大学斯雪明教授受邀作了题为《区块链与系统安全...

北丐09
2018/04/18
0
0
揭开 SE Linux 的秘密:第 1部分

最近,美国国家安全局不同寻常地向开放源码社区发布了一个安全性增强型版本的 Linux -- 包括代码和所有部分。这篇 dW 专有的文章首次对这一意想不到的开发进行了探讨 -- 它意味着什么,将有什...

红薯
2009/01/04
593
0
【PPT分享】如何保证智能客户端应用的安全性.ppt

本PPT 从下面几个方面介绍了智能客户端应用开发的安全性 满足安全性的需求 深入: 安全性的设计选择 保护数据库的安全 保护代码中的安全项 加密离线的数据 控制对本地资源的访问 控制对 Web ...

红薯
2010/09/08
239
0
什么是 DevSecOps ?

DevOps 不仅仅是开发和运营团队。如果您想要充分发挥出 DevOps 方法的敏捷性和响应力,则必须在应用的整个生命周期内同时兼顾 IT 安全性 。 为什么?以往,安全性会在开发的最后阶段由特定的...

别打我会飞
05/05
20
0
AngularJS 路由的安全性处理

简介 自从出现以后,AngularJS已经被使用很长时间了。 它是一个用于开发单页应用(SPA)的javascript框架。 它有一些很好的特性,如双向绑定、指令等。 这篇文章主要介绍Angular路由安全性策略...

oschina
2014/08/27
6.9K
4

没有更多内容

加载失败,请刷新页面

加载更多

最简单的获取相机拍照的图片

  import android.content.Intent;import android.graphics.Bitmap;import android.os.Bundle;import android.os.Environment;import android.provider.MediaStore;import andr......

MrLins
11分钟前
0
0
说好不哭!数据可视化深度干货,前端开发下一个涨薪点在这里~

随着互联网在各行各业的影响不断深入,数据规模越来越大,各企业也越来越重视数据的价值。作为一家专业的数据智能公司,个推从消息推送服务起家,经过多年的持续耕耘,积累沉淀了海量数据,在...

个推
12分钟前
2
0
第三方支付-返回与回调注意事项

不管是支付宝,微信,还是其它第三方支付,第四方支付,支付机构服务商只要涉及到钱的交易都要进行如下校验,全部成功了才视为成功订单 1.http请求是否成功 2.校验商户号 3.校验订单号及状态...

Shingfi
15分钟前
1
0
简述Java内存分配和回收策略以及Minor GC 和 Major GC(Full GC)

内存分配: 1. 栈区:栈可分为Java虚拟机和本地方法栈 2. 堆区:堆被所有线程共享,在虚拟机启动时创建,是唯一的目的是存放对象实例,是gc的主要区域。通常可分为两个区块年轻代和年老代。更...

DustinChan
21分钟前
3
0
Excel插入批注:可在批注插入文字、形状、图片

1.批注一直显示:审阅选项卡-------->勾选显示批注选项: 2.插入批注快捷键:Shift+F2 组合键 3.在批注中插入图片:鼠标右键点击批注框的小圆点【重点不可以在批注文本框内点击】----->调出批...

东方墨天
45分钟前
6
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部