java web面向互联网应用系统的安全

本人之前做的都是企业内部的管理系统，更多的知识关注业务实现，没有花时间关注应用系统的安全，只是做了一些简单的安全控制。现在要做一个面向互联网的应用，所以请教各位关于应用系统安全的问题。希望各位多提宝贵意见。下面是我所知道的，平时也简单应用了的一些安全方案。

1.  防SQL注入
2. 过滤非法字符串（前后端都有）
3. js和服务端的输入验证（偏重于验证参数的合法性）
4. 资源的访问控制

Web Application Security Consortium（WASC）将Web 应用安全威胁分为如下六类：

1. Authentication（验证）：用来确认某用户、服务或是应用身份的攻击手段。
2. Authorization（授权） ： 用来决定是否某用户、服务或是应用具有执行请求动作必要权限的攻击手段。
3. Client-Side Attacks（客户侧攻击） ： 用来扰乱或是探测 Web 站点用户的攻击手段。
4. Command Execution（命令执行） ： 在 Web 站点上执行远程命令的攻击手段。
5. Information Disclosure（信息暴露） ： 用来获取 Web 站点具体系统信息的攻击手段。
6. Logical Attacks（逻辑性攻击） ： 用来扰乱或是探测 Web 应用逻辑流程的攻击手段。

详细可以参考http://www.webappsec.org/另外附件为《WEB应用安全委员会-威胁分类v1_0》。

 

常见针对 Web 应用攻击的十大手段如下

1. Crorss-site scripting (跨网站脚本攻击)
2. Injection Flaws (注入攻击)
3. Malicious File Execution (恶意文件执行)
4. Insecure Direct Object Reference (不安全对象引用)
5. Cross-Site Request Forgery (跨站点的请求伪造)
6. Information Leakage and Improper Error Handling (信息泻露和不正确的错误处理)
7. Broken Authentication & Session Management (被破坏的认证和Session 管理)
8. Insecure Cryptographic Storage (不安全的密码存储)
9. Insecure Communications (不安全的通讯)
10. Failure to Restrict URL Access (URL 访问限制失效)

这些概念很广泛，针对这些攻击手段，请教各位怎么在咱们的应用中采用切实可行的安全措施。各位有知道的最好配上明确的攻击举例，然后针对攻击提供明确的解决办法。

学习中
有些应该是可以从代码级别可以做到，如sql注入等，有些需要配合服务器或者一些技术来避免吧

IBM AppScan 深度设置为5000  然后等report吧

这个我也知道，出来report，还得有解决方案吧，并且等出来report已经是项目开发完了，安全问题在项目前期就必须考虑。