文档章节

关于web app安全-服务器端

s
 ssliu
发布于 2015/03/13 06:17
字数 325
阅读 27
收藏 0

1. 关于web.xml设置

Use Case:只允许role是“Employee”的用户,可以通过HTTP GET获取对应web资源

<security-constraint>
   <display-name>Restricted GET To Employees</display-name>
   <web-resource-collection>
      <web-resource-name>Restricted Access - Get Only</web-resource-name>
      <url-pattern>/restricted/employee/*</url-pattern>
      <http-method>GET</http-method>
   </web-resource-collection>
   <auth-constraint>
      <role-name>Employee</role-name>
   </auth-constraint>
   <user-data-constraint>
      <transport-guarantee>NONE</transport-guarantee>
   </user-data-constraint>
</security-constraint>
注意:在这样的设置中,只有GET被明确定义,这也意味着这样的constraint指针对GET方法有效,对于其他POST,HEAD等方法不存在这样的安全限制。如果,实际的应用场景想规避这样的弱点,移除<http-method>GET</http-method>的限定即可。

参考:http://java.dzone.com/articles/understanding-web-security

2. 关于session

Use Case: 有Login应用场景的website

Attacker:以public的身份访问某website,获取一个jsessionid。接着,用这个jessionid信息构造一个访问该网站的url,以电子方式spam。

Victim:收到spam邮件,点开邮件链接,以自己用户名密码登录该website。

Attacker:刷新自己页面,以victim的身份登录该website,可以访问该victim的敏感信息。

解决方案:根据JAAS,配置META-INF/context.xml,目的在于保证用户每次登录时,更新对应的session。session更新的同时,将有用信息放入新的session中(shopping cart)。

Use Case:无Login的website

3.关于SQL注入

© 著作权归作者所有

s
粉丝 1
博文 11
码字总数 1104
作品 0
南京
私信 提问
.NET WEB API 对接支付宝支付

.NET WEB API 对接支付宝支付 转载请注明出处:http://leejunhui.com/2017/02/09/AliPayWithWebAPI/ 最近一个项目中需要自己前后台全栈,几经权衡之后,在还是选择了自己最为熟悉的.NET WEB ...

LeeJunhui
2017/02/09
0
0
Web信息安全

Web信息安全 在当今的互联网时代,信息安全问题经常发生,如何保证信息的安全成为开发者不得不面对的问题。 CIA 信息安全的CIA原则,大致阐述了实践信息安全的几个基本原则: 保密性(Confi...

精通吹水
2016/06/19
106
0
应运而生 WebRAY发布移动应用防火墙

  【IT168 资讯】随着移动智能化时代的到来,移动终端占据了人们的很多时间,据预测,2017年移动终端的数量将会达到100亿,移动智能手机的数量将会达到28亿,移动智能手机的数量是中国人口...

it168网站
2016/07/06
0
0
如何在移动端开发中正确地使用OAuth协议:常见错误剖析

作者在之前的文章中曾经介绍过 OAuth2.0 协议,并将其与OpenID和SAML性对比。然而,在理论上设计协议是一回事,在工程中实现协议是另一回事,由于很多开发人员没有真正理解OAuth2.0的设计意图...

登高且赋
2017/12/22
0
0
Threema 的 Web 客户端--Threema Web

Threema 是一款十分注重隐私安全的移动通信 App,这个是它的 Web 应用。它托管以及开发于瑞士,是以隐私为重点的端到端加密移动通信 App。使用 Threema Web,你可以在桌面上使用 Threema,而...

匿名
2017/02/16
2.1K
0

没有更多内容

加载失败,请刷新页面

加载更多

如何使用 rsync 备份 Linux 系统的一些介绍

备份一直是 Linux 世界的热门话题。回到 2017,David Both 为 Opensource.com 的读者在使用 rsync 备份 Linux 系统方面提了一些建议,在这年的更早时候,他发起了一项问卷调查询问大家,在 ...

xiangyunyan
41分钟前
1
0
二进制位操作

单片机,或者一些模块的设置操作,都是由一个字节数据来完成,每位各有定义。就需进行位操作来组合需要的数字结果。 以JavaScript为例,编写位操作。 我们期望得到这样一个二进制数:0101101...

format
55分钟前
4
0
聊聊中国的通信行业:从“七国八制”到“中华”脊梁

本期文章和大家一起来聊一聊我曾经从事过的通信行业吧。最近各方面信息的泛滥,包括和华为的同学聊天,自己确实也感慨颇多。想想我自己本科主修通信工程,研究生再修信息与通信工程,从本科开...

CodeSheep
今天
7
0
MDK:ARM M451M:exceed the range of code meory, continue to erase or not?

问题: 代码空间超限 几天前就遇到:exceed the range of code meory, continue to erase or not? 如下所示: 解决过程 开始以为中MDK软件的128KB限制,如是就不能生成HEX文件,应该链接时有提...

SamXIAO
今天
3
1
OSChina 周六乱弹 —— 因违反《中华人民共和国治安管理处罚法》第四十四条之规定

Osc乱弹歌单(2019)请戳(这里) 【今日歌曲】 @xiaoshiyue :#今日歌曲推荐# 惊艳分享谷微的单曲《安守本份》(@网易云音乐) 《安守本份》- 谷微 手机党少年们想听歌,请使劲儿戳(这里) ...

小小编辑
今天
710
15

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部