java开发常见漏洞及处理说明.doc_第1页
java开发常见漏洞及处理说明.doc_第2页
java开发常见漏洞及处理说明.doc_第3页
java开发常见漏洞及处理说明.doc_第4页
java开发常见漏洞及处理说明.doc_第5页
已阅读5页,还剩4页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

_Java常见漏洞及处理说明杨博本文专门介绍针对java web程序常见高危安全漏洞(如:SQL注入 、 XSS跨站脚本攻击、文件上传)的过滤和拦截处理,确保系统能够安全的运行。1 SQL注入(SQL Injection)经分析确认本系统对SQL 注入做了相应的过滤处理,可以有效应对SQL注入攻击,确保系统安全。详细说明:攻击方式:所谓SQL注入式攻击,就是的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。防御方式:对用户输入或请求进行预验证处理,过滤掉可能造成恶意SQL的字符。本系统属于政府部门门户网站,用户发布的是新闻动态,不会涉及到学术研究SQL方面的东西,所以本系统采用过滤器的方式对用户输入或请求进行过滤处理,如果输入或请求涉及恶意SQL方面的字符将一律过滤掉,这不会影响用户的使用,同时确保了系统的安全。系统配置文件web.xml初始化时同时初始化过滤器,过滤器起到全局作用,并设置为针对所有请求。过滤器AntiSqlInjectionfilter:2 XSS攻击(DOM XSS、Stored XSS、Reflected XSS)经确认本系统已对XSS攻击做了拦截及过滤处理,达到了有效对抗XSS攻击的效果,确保系统的安全。详细说明:攻击方式:XSS又称CSS,全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所以容易被忽略其危害性。其原理是攻击者向有XSS漏洞的网站中输入(传入)恶意的HTML代码,当其它用户浏览该网站时,这段HTML代码会自动执行,从而达到攻击的目的。如,盗取用户Cookie、破坏页面结构、重定向到其它网站等。防御方式:需要对用户的输入进行处理,只允许输入合法的值,其它值一概过滤掉。本系统提供了专门的针对XSS攻击的过滤器,过滤掉了html/javaScript中的标签符号,防止恶意HTML代码。系统配置文件web.xml初始化时同时初始化过滤器,过滤器起到全局作用,并设置为针对所有请求。点击进入过滤器类XssFilter:针对HttpRequest请求3 Unnormalize Input String经分析确认此漏洞主要是文件上传输入路径漏洞,系统已有专门针对文件上传文件类型格式的过滤器,确保上传文件的安全,有效防止了系统受到攻击。详细说明:攻击方式:上传具有可执行性的程序代码文件,如:HTML、JSP等文件对系统进行修改或盗取用户信息。防御方式:1.文件类型验证过滤,防止上传可执行程序文件2.使用随机数改写文件名和文件路径,使得用户不能轻易访问自己上传的文件本系统提供了专门的过滤器,过滤掉了可执行程序文件。过滤器在系统初始化时将会被调用,系统初始化配置文件web.xml中:以此可以有效防止文件上传的漏洞THA
人人文库> 全部分类> 应用文书 > 事务文书

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

评论

0/150

提交评论