`
smiky
  • 浏览: 257816 次
  • 性别: Icon_minigender_1
  • 来自: 天门
社区版块
存档分类
最新评论

web项目布署安全问题初识

 
阅读更多

最近系统要上线,收到一份系统技术规范,与安全相关的。这里总结一下:

代码相关:

1.sql注入,这个大家估计都知道,用预处理解决.这个问题很简单,但是在编程时只求完成任务,很多地方都没注意,在日后编程中要认真了。

2.cookie,用户登录时将用户名与密码加密后存放在cookie中,虽然加过密但是在firebug之类的工具下用document.cookie还是可以看到密文的,需要设置httponly.在servlet3.0规范中可以设置Cookie对象的httponly属性。对于之前的版本,需要直接response.setHeader来设置cookie,在字符串最后最后加上httponly就行了(由于最后为了简单直接将cookie去掉了,代码丢失),测试中发现使用这种方法只能为一个cookie设置httponly.一般来说用户与密码会分为两个cookie对象,那么用response.setHeader要调用两次,前一次会被后面的调用override,如果只调一次,将username与password都加上去,测试时发现不能成功。

3.flash安全配置,只允许信任网站的请求

4.尽管不使用第三方链接形式的js,iframe防止xss

 

 

tomcat相关:

一.tomcat默认的管理界面及doc信息要禁用

 

1.取消tomcat默认主页,禁止管理及文档页面的访问(解决可直接查看文件列表的目录、URL存在内部IP地址泄露、URL存在电子邮件地址模式、部分的无效链接、系统路径信息泄露)

a)tomcat/conf/server.xml

找到

 <Host name="localhost" appBase="webapps"

       unpackWARs="true" autoDeploy="true"

       xmlValidation="false" xmlNamespaceAware="false">

在后面添加<Context path="" docBase="smartspeed" debug="0" reloadable="true" />,将smartspeed设为tomcat默认主页,可以直接ip:port访问主页

 

b)删除tomcat/webapps下面的ROOT及tomcat-docs等目录

tomcat/webapps/ROOT

tomcat/webapps/tomcat-docs

tomcat/webapps/jsp-examples

tomcat/webapps/servlets-examples

tomcat/webapps/webdav

tomcat/webapps/balancer

禁止管理页面与文档页面的使用

 

 

2.禁用不安全的HTTP方法(禁用掉PUT/DELETE/HEAD/OPTIONS/TRACE)

在tomcat/conf/web.xml的结束标签</webapp>之前加入

 <security-constraint>

    <web-resource-collection>

    <url-pattern>/*</url-pattern>

    <http-method>PUT</http-method>

    <http-method>DELETE</http-method>

    <http-method>HEAD</http-method>

    <http-method>OPTIONS</http-method>

    <http-method>TRACE</http-method>

    </web-resource-collection>

    <auth-constraint></auth-constraint>

    </security-constraint>

    <login-config>

    <auth-method>BASIC</auth-method>

    </login-config>

 

3.将项目中未使用到的链接全部删除(不要小看这个,安全评估过不了的)

 

 

 

 

 

 

 

 

 

 

 

分享到:
评论

相关推荐

    Linux 环境下WEB项目布署总结.docx

    在Linux环境下部署Web项目是一项常见的任务,特别是在互联网行业中。以下是对整个过程的详细解析: 1. **创建用户和配置权限**: - 使用`useradd`命令创建新用户,例如`test`,并指定家目录为`/home/test`。 - ...

    h3cse-security课程《布署安全防火墙系统(v1.1)》培训胶片

    h3cse-security课程《布署安全防火墙系统(v1.1)》培训胶片 H3官方资料。共八章。

    limchen233#Front-Web#04 项目布署在不同的ip导致请求跨域1

    1、后台可以使用Nginx转发,使请求是同源 2、在请求头里添加一个新属性,比如token,并将cookie值赋给它 3、在请求参数里统一添加cookie的值

    STM32实现Web服务器

    8. **安全考虑**:尽管是简单的Web服务器,但安全问题不容忽视。例如,应避免在服务器上执行未经验证的用户输入,以防止潜在的注入攻击。 9. **扩展功能**:基础的Web服务器可能只提供静态HTML页面,但通过添加CGI...

    Struts2 + Spring + Hibernate + DWR 项目布署笔记

    在IT行业中,构建高效、可扩展的企业级应用是至关重要的。"Struts2 + Spring + Hibernate + DWR"是...这个框架组合在实际项目中广泛应用,但同时也需要开发者具备扎实的Java和Web开发基础,以及对这些框架的深入理解。

    H3CSE-Security课程《布署安全防火墙系统(v1.1)》

    H3CSE-Security课程《布署安全防火墙系统(v1.1)》 比较简洁全面的介绍资料。

    WEB安全测试分类及防范测试方法.pdf

    - 表单漏洞测试:表单处理不当可能导致跨站请求伪造(CSRF)等安全问题。防范措施包括对表单输入进行验证、限制输入长度、对敏感操作进行二次验证等。 - Cookie欺骗漏洞测试:攻击者可能通过篡改Cookie来欺骗Web...

    海康威视控件包V3.3.0

    在开发过程中,开发者需要将这个WebSDK集成到自己的项目中,按照文档指导配置相应的参数,通过API调用来实现各种功能。同时,为了保证软件的稳定性和安全性,开发者需要定期检查并更新至最新版本的SDK,以获取最新的...

    vs2005项目的安装与布署

    【VS2005项目的安装与布署】是关于如何使用Visual Studio 2005 (VS2005) 创建和打包Windows Forms (Winform) 应用程序的详细教程,尤其关注如何确保应用程序所需的依赖项得到正确处理。本文档提供图文说明,指导...

    提取创建或修改的文件自动生成布署目录

    总之,"提取创建或修改的文件自动生成布署目录"工具是Java项目部署流程中的一大助力,通过自动化处理文件的更新,确保了部署的准确性和实时性。掌握和利用这样的工具,对于提升个人或团队的开发效率具有重要意义。

    毕设&课设&项目&实训-企业云布署(SaaS) 的即时通讯IM系统.zip

    【全开源】专注于 企业云布署(SaaS) 的即时通讯IM系统,基于teamtalk 开源项目二次开发,群集布置效果优化,业务模块与底层分离,能快速与自已现有系统对接,可用于企业OA,内部办公IM,App聊天沟通等业务场景。...

    如何部署Java Web服务

    Ant作为构建工具,提供了构建Java项目的灵活性,而Eclipse Web Tools Platform (WTP)则为Web应用的构建和部署提供了额外的支持,包括XML、模式和WSDL编辑器,方便开发者处理复杂的Web服务定义。 【跨多个容器的单个...

    专注于 企业云布署 的即时通讯系统,基于teamtalk开源项目二次开发.zip

    专注于 企业云布署 的即时通讯系统,基于teamtalk开源项目二次开发,采用 t-io 内核做为websocket服务端核心技术模块,群集布置效果优化,业务模块与底层分离,能快速与自已现有系统对接。支持音,视频通话,支持 andoird...

    布署tomcat错误和提示“Tomcat JDK name”错误

    本文将详细介绍一个特定问题:当修改了Java项目的名称后,在布署到Tomcat时出现错误以及提示“Tomcat JDK name”错误。我们将从问题背景、解决方案、注意事项等多个方面进行详细阐述。 #### 问题背景 在对Java项目...

    基于HTTP的应用程序布署和更新方案.rar

    "自动布署和增量更新程序使用说明.pdf"则是一份详细的操作指南,它向用户或管理员解释如何使用上述工具进行自动部署和增量更新。自动部署通常涉及到安装脚本的编写,这些脚本能够根据预定的规则自动完成应用程序的...

    不需要IIS 就可以用的asp.net 迷你服务器

    3) 这样一个需求寻求解决方案(无服务器运行WEB) :客户端不能上网,客户通过光盘U盘等方式COPY程序(网站程序)到自己的电脑上后可以正常地进行查询等功能,现在问题是:客户不可能去装个IIS来布署网站,又要求是B/...

    替代IIS运行asp.net程序,布署.net程序就太方便了

    界面精美 替代iis运行asp.net的程序,支持局域网与广域网访问 需要安装.net4.0,方便布署 需要将安装.net4.0 并将所有文件复制到你的程序的根目录下,然后双击FWD.Server.exe 如果需要启动电脑即可访问,请将程序...

    H3C部署安全防火墙系统(新编)

    H3C部署安全防火墙系统(新编)  

Global site tag (gtag.js) - Google Analytics