`

互联网相关安全性方面

 
阅读更多
1.XXS注入

概述:当我们使用jquery在页面渲染数据时,可能会用到以下几个方法:$('xxx').html();$('xxx').text();$('xxx').append();其中有可能发生XXS注入。

示例:用户提交的内容为<script>alert("Kyle注入");</script>这时如果你用text()方法渲染那自然没有问题, 但是如果你用html()append()去渲染就会被注入,不相信自己可以去试下.

危害:

1.轻危就弹你一个提示窗口

2.可以获取到当前登录用户的所有cookie信息及登录后的所有信息

3.可以暗地操作当前登录用户的相关操作等

解决方法:

1.渲染时我们尽量用text()方法渲染

2.如果一定需要用html()append()渲染用户提交的相关数据,那么我就必需用到相关过滤的方法处理

3.jsp页面里面的渲染可以使用自定义方法进行相关过滤处理

2.SQL注入

概述:利用现有应用程序,将(恶意)SQL命令注入到后台数据库引擎执行的能力。

示例:如果判断Web环境是否可以SQL注入。如果URL仅是对网页的访问,不存在SQL注入问题,如:http://*.xxxx.com就是普通的网页访问。只有对数据库进行动态查询的业务才可能存在SQL注入, 如:http:// *.xxxx.com /xxxx?val=,其中val1表示数据库查询变量,这种语句会在数据库中执行,因此可能会给数据库带来威胁。 String sql = "select * from where id = ?",如果id的值是1 or 1=1;或者1";"delete .....

危害:

1.未经授权状况下操作数据库中的数据

2.恶意篡改网页内容

3.私自添加系统帐号或者是数据库使用者帐号

4.网页挂木马

解决方法:

1.java用预编译语句集,它内置了处理SQL注入的能力,只要使用它的setxxx方法传值即可

String sql= "select* from users where username = ? and password=?;

PreparedStatement preState= conn.prepareStatement(sql);

preState.setString(1, userName);

preState.setString(2, password);

ResultSet rs= preState.executeQuery();

                              

2.后台过滤,简单的验证数据格式/长度正确,过滤/转义各种特殊符号;包含有 单引号('),分号(;) 双引号(")和 注释符号(--)

3.前台过滤,对于必要的input输入信息进行格式验证;尤其有对于用户名、密码之类的页面最好设置验证码(防止猜测的注入,减轻服务器压力)

3.传输/存储加密

概述:数据的重要性大家应该都清楚,由其用户的隐私数据安全问题越来越受到重视(如:CSDN事件),所以我们需要对自己的关键数据进行有效的保护.

危害:

1.泄漏用户隐私数据

2.泄漏服务器的相关重要信息.如:数据库用户名和密码等

3.重要数据在通信中被篡改

解决方法:

1.合理设置每个接口,查询出来的数据过滤掉用户的相关隐私数据

2.重要的通信传输应该进行加密处理,比如通过https

3.数据库字段存储,重要信息字段应当加密存储。

4.程序中连接数据库的密码不能保存为明文,需要进行加密处理防止被泄露,合理分配数据库用户权限(越细越安全)

5.数据库服务器设置IP访问限制.(跟运维或者DBA进行是否已设置)

6.用户的重要信息都不应该出现在日志当中,密码等重要信息不管是否加密都不应该出现在日志出中。

4.权限验证

概述:就是为了控制权限的,每种角色都有自己特定的与公共的权限,这些权限的逻辑关系是相当复杂的,如果一个Web应用在角色上没有一个详细的合理的设计, 将会给开发人员带来无限接下来的痛苦和麻烦。

示例:某网站用户有这些角色:其一可以说是游客,就是浏览者没有登录的角色;其二就是注册用户;其三就是VIP用户;根据业务扩展,可能还会出现更多用户角色

危害:

1.导致A用户可以篡改B用户的相关数据

2.可以操作自己没有权限的相关请求

3.不需要登录就可以任意操作相关请求

解决方法:

1.合理验证每个用户的权限

2.即使是登录用户在执行相关重要操作时必需要再次验证。如:添加,删除相关操作

3.付费等相关重要操作,都要通过远程验证方法验证等

4.服务器对请求方需要永远保持不信任原则,都需要进行相关的验证

 

分享到:
评论

相关推荐

    有关加强互联网安全性稳定性和灵活性的计划-icann.pdf

    ICANN 已经制定了一系列相关的计划,以加强互联网安全性、稳定性和灵活性。这些计划包括核心 DNS/地址分配的安全性、稳定性和灵活性职能、TLD 注册管理机构和注册服务商的安全性、稳定性和灵活性、Whois 的安全性、...

    嵌入式系统的网络安全性分析.pdf

    "嵌入式系统的网络安全性分析" 嵌入式系统的网络安全性分析是当前...为了确保嵌入式系统的安全性,我们需要从多方面入手,制定相关的安全策略,设计相应的安全思路和原则,避免了嵌入式系统网络安全性问题的出现。

    安全性设计技术,很多安全性方面的知识

    web安全性,网络安全性,密码安全性,协议安全性等

    物联网智能家居安全性设计研究.pdf

    本文将从以下几个方面深入探讨物联网智能家居安全性设计的相关知识点。 首先,物联网技术的基础知识是设计智能家居安全性的核心。物联网技术是一种基于互联网、传统电信网等信息承载体,让所有普通物理对象能够进行...

    商用密码应用安全性评估FAQ

    该步骤包括了网络安全层面的测评对象识别和确定、通信安全层面的测评对象识别和确定等方面的评估。 第六部分:设备和计算安全层面的测评对象 设备和计算安全层面的测评对象是评估商用密码应用安全性的重要步骤。该...

    《公共互联网网络安全突发事件应急预案》发布.pdf

    在面对公共互联网网络安全突发事件时,分级制度能够帮助相关部门快速定位问题的严重程度,并采取相对应的应急措施。分级制度通常根据事件的社会影响范围和危害程度来划分,如特别重大事件、重大事件、较大事件和一般...

    政务云网络安全合规性指引.pdf

    4. 规范性引用文件:指引中列举了多个与电子政务相关的标准文件,这些文件涵盖了信息安全技术网络安全等级保护的各个方面,包括定级指南、实施指南、基本要求、安全设计技术要求、测评要求和测评过程指南,以及...

    安全性测试总结,安全测试

    通过系统地分析和总结,我们可以更好地理解安全性测试的内涵、目标和实施过程,从而在保障软件系统的安全性方面发挥关键作用。 安全性测试的目标在于验证软件系统在防止危险状态、处理错误、抵御攻击等方面的能力,...

    工业互联网企业网络安全防护优秀应用案例申报书.docx

    工业互联网企业网络安全挑战是指工业互联网企业在网络安全方面面临的挑战,包括工业互联网企业网络安全建设中的挑战、工业互联网企业网络安全防护中的挑战等。 知识点11:工业互联网安全建设情况 工业互联网安全...

    计算机系统安全与计算机网络安全.pdf

    随着互联网的发展,计算机系统的安全性问题变得越来越严重。计算机病毒、计算机系统漏洞、黑客攻击、恶意破坏等问题都对计算机系统的安全性造成了极大的威胁。 计算机病毒是计算机系统安全中最基本的问题之一。...

    4G网络安全性分析.pdf

    这些特性在提供快速和便捷服务的同时,也带来了安全性方面的挑战。4G网络面临的安全威胁主要来自于移动终端、无线接入网、无线核心网和IP骨干网这几个方面。由于移动终端在无线通信系统中的核心地位,其安全问题尤其...

    工业互联网平台 安全防护要求

    ### 工业互联网平台安全防护要求详解 #### 一、概述 随着工业互联网技术的快速发展,安全保障成为确保工业...通过遵循这些标准,可以有效地提升工业互联网平台的安全性和可靠性,从而保障工业生产和运营的安全稳定。

    计算机网络安全性分析建模研究.pdf

    计算机网络安全性分析建模研究,旨在通过建立数学模型的方式,对网络中的安全特性进行深入研究,评估潜在风险,并提出有效的防护措施。 首先,计算机网络安全分析的目的是确保网络中的数据安全,包括静态和动态数据...

    Unix/linux系统的安全性概述

    Unix/linux系统的安全性概述 对于网站管理人员而言,日常性的服务器安全保护主要包括四方面内容: 文件存取合法性:任何黑客的入侵行为的手段和目的都可以认为是非法存取文件,这些文件包括重要数据信息、主页页面 ...

    医疗器械软件网络安全描述文档.pdf

    首先,医疗器械软件网络安全描述文档是一个重要的文档,对于医疗器械软件的安全性和可靠性具有至关重要的意义。该文档详细描述了医疗器械软件的基本信息、风险管理、验证与确认、维护计划等方面的内容。 在基本信息...

    论三网融合背景下的广播电视网络安全性.pdf

    在三网融合背景下,广播电视网络安全性成为行业内外关注的重要议题。三网融合指的是电信网络、广播电视网络和互联网的整合,这一概念随着技术发展逐渐得到实现。在技术融合的同时,安全问题成为必须解决的挑战,尤其...

    北京中科信软软件系统安全性测试高级培训课件

    首先,软件安全性是计算机安全的重要组成部分,它包括硬件安全、软件安全、数据安全、运行安全和网络安全等。软件安全是计算机安全的关键,它直接关系到金融、电力、交通、医疗、政府以及军事等多个领域。软件安全的...

Global site tag (gtag.js) - Google Analytics