接上篇
在对安全有很高限制的地方,我们应该提供视图 供用户操作,不提供基础数据库表。<o:p></o:p>
在我们的技术服务平台上,我们应该考虑使用这种方式,<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
1、 注册用户和非注册用户所能访问的资源存放在不同的文件夹中-------------------页面原型人员和开发人员尤其注意<o:p></o:p>
2、 限制用户存放在服务器上的文件数量、大小、格式<o:p></o:p>
比如:在文件上传的时候,要限制用户上传的文件的格式,大小等等,在后台做校验<o:p></o:p>
<o:p> </o:p>
3、 检验I/O的数据<o:p></o:p>
前台使用JS 验证并不能得到让人满意的效果,在服务器端有必要进行再次检验<o:p></o:p>
<o:p> </o:p>
4、 暴力破解<o:p></o:p>
一般都是选用验证码,但是一定要是有背景的验证码<o:p></o:p>
5、 隐私的保护<o:p></o:p>
6、 Web service的安全问题<o:p></o:p>
对此,目前我们要考虑的是AJAX的安全问题。<o:p></o:p>
对AJAX的安全方面目前大家都还在沉迷于它的客户感受,没考虑安全方面问题。<o:p></o:p>
我们在这里能做的就是:<o:p></o:p>
1) 少暴露不必要的业务方法----DWR框架<o:p></o:p>
2) ……… -------dojo框架<o:p></o:p>
3) 不建议使用原始的javaScript + XML来处理AJAX<o:p></o:p>
Web service的问题中还有 XPATH、 XML 、XHTML、WDSL、SOAP等存在着一定的漏洞。<o:p></o:p>
这些在以后做技术服务平台的时候,再去考虑。<o:p></o:p>
7、 每一步动作,均写到日志表<o:p></o:p>
<o:p> </o:p>
为以后出现安全漏洞查找<o:p></o:p>
18、URL重写<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p></o:p>
1. 方案选择:<o:p></o:p>
业界对JAVA EE的解决方案是这样的:<o:p></o:p>
1) CA<o:p></o:p>
2) SSL<o:p></o:p>
3) JAAS<o:p></o:p>
4) ACEGI<o:p></o:p>
1.1. CA<o:p></o:p>
对我们来说, 不是多重要,CA需要认证机构发证书
1.2. SSL<o:p></o:p>
在ACEGI中去做
<o:p> </o:p>
1.3. JAAS<o:p></o:p>
编程式的------------------不采用,在此不做介绍,有感兴趣的,找我提供一些资料
<o:p> </o:p>
1.4. ACEGI-----SSO<o:p></o:p>
由于我们要写2套姐妹系统----电子商务网和技术服务平台<o:p></o:p>
就存在着两套用户注册与登陆,这样用户在使用起来比较麻烦,让人反感。<o:p></o:p>
这样就存在一个需求:就是将2套乃至今后更多套的用户的登陆和授权统一起来,集中在一套页面去维护多套系统。<o:p></o:p>
为此,我们就需要单点登陆来处理。<o:p></o:p>
这样就直接使用acegi和cas来进行开发,方便以后系统的扩展和维护。<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
附:<o:p></o:p>
Acegi特性说明:<o:p></o:p>
1、 便携性----方便部署
2、 多认证方式 -------ssl form
3、 保护http请求不需要在web.xml文件中配置,直接在<bean></bean>文件中配置即可-------很好(配置即可)
4、 保护服务层的业务方法
这个只有EJB3才能享受的到,acegi也提供了,只要是POJO受管就可(配置即可)
<o:p> </o:p>
5、 灵活的安全传输通道 ---可以在http https之间灵活的切换(配置即可)
6、 安全性上下文的传播-----------目前还不需要
7、 提供标签库操作
8、 提供remember---me认证----cookie---------------用户登陆
9、 提供EhCache集成
10、 提供优异的Captcha集成
11、 支持Spring的事件机制
12、 很好的国际化问题
13、 提供一流的并发会话处理
<o:p> </o:p>
Acegi简单示例一个<o:p></o:p>
见gww的开发源码。
<o:p> </o:p>
分享到:
相关推荐
2. 软件安全承诺书的内容:软件安全承诺书的内容包括软件开发和服务提供商需要遵守的规章和规范,如遵守国家法律法规、保护个人数据和隐私、保护公司经济利益和科技优势、严格遵守公司的约定和买方/客户的指示等。...
2. 软件安全实现:使用各种安全机制和技术来保护软件系统的安全。 3. 软件安全测试:对软件系统进行测试,以确保其安全性和可靠性。 4. 软件安全需求及设计:根据用户的需求和安全标准,设计和实现软件系统的安全...
### 信息安全技术应用软件安全编程指南 #### 一、引言与背景 随着信息技术的快速发展,应用软件在各个领域扮演着越来越重要的角色。然而,软件中存在的安全漏洞也日益成为不容忽视的问题。为了确保软件产品的安全...
内容含DevSecOps参考设计指南、软件安全构建成熟度模型、DevSecOps企业实践、Javascript编码安全指南、JAVA代码审计、软件保证成熟度模型、威胁建模、PHP代码审计、阿里Java开发手册、DevSecOps最佳实践、安全编码...
【太原理工大学软件安全技术实验】是一系列针对软件安全的教学实践,涵盖了漏洞分析、SQL注入、登录页面需求分析和正则表达式编写等关键主题。实验旨在帮助学生掌握软件安全技术,特别是针对软件开发中的安全问题...
安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件
第二章软件安全需求分析 * 业务需求提出人员和需求分析人员的责任:确定业务风险,提出系统功能、性能及数据等方面的业务安全需求。 * 需求分析人员的责任:根据业务安全需求,进行资产识别、资产分析和风险分析,...
软件安全需求分析 软件安全需求分析是软件开发过程中的重要步骤。在需求分析阶段,业务需求提出人员应会同需求分析人员,确定业务持续性、输入输出、身份欺骗及抗抵赖等方面的业务风险。然后,需求分析人员应根据...
本次实验是电子科技大学信息与软件工程学院的一次软件安全设计课程,旨在让学生通过使用微软的Threat Analysis & Modeling (TAM)工具2.0版本,理解和掌握软件安全威胁建模的方法。实验重点在于利用TAM进行人力资源...
2. **系统设计与安全编码**:开发人员在设计系统架构和编写代码时,需考虑输入数据的安全性,比如通过双输入校验、边界检查、限制输入范围等方式防止恶意输入。同时,内部处理的控制也至关重要,包括添加、修改和...
2. 分析文件:软件会自动检测并识别PDF中的安全设置。 3. 选择解除选项:用户根据需要选择要解除的安全限制,如打印、编辑、复制等。 4. 解除限制:点击开始或解除按钮,软件将执行解除过程。这可能需要一些时间,...
《软件安全实现:安全编程技术》是一本图书,全书共分为16章,针对安全编程技术进行讲解,主要涵盖了基本安全编程、应用安全编程、数据保护编程以及其他内容共四大部分:第一部分包含内存安全、线程/进程安全、异常/...
华中科技大学网安专业软件安全复习笔记 根据老师PPT整理
### 软件安全实现与安全编程技术 在当今数字化时代,软件安全变得越来越重要。随着互联网技术的发展和应用范围的不断扩大,各种形式的安全威胁也日益增多,这使得软件安全成为了一个不可忽视的问题。《软件安全实现...
内容概要:本文档全面介绍了软件安全领域的各个方面,包括零日漏洞及其攻击、软件安全的定义与属性、软件开发中的安全实践、Web架构的安全性问题、漏洞管理和分类、安全测试方法及部署安全等。文中不仅探讨了理论...
《软件安全性测试》 在信息化社会中,软件的安全性已经成为我们关注的重要焦点。软件安全性测试是一种专门用于评估软件产品在面临各种威胁时的防御能力,确保软件在设计、开发、运行过程中不会因为潜在的安全漏洞而...
《GJB_102A-2012 军用软件安全性设计指南》是针对军事领域软件开发的重要规范,旨在确保军用软件在设计、开发、测试和维护过程中的安全性和可靠性。这份指南是中国军事标准(GJB,国家军用标准)的一部分,对军事...
华中科技大学网络空间安全学院19级软件安全实验报告及代码
在代码层,软件安全是主要的安全问题,即汽车电子平台软件中的软件漏洞可能会引发风险。在数据层,信息安全是主要的安全问题,即智能网联车中的各类数据需要通过网络上传,所涉及的隐私面临着被窃取、伪造、篡改、...