Java 架构中最常见的安全漏洞 内容来自zvvq
扎针漏洞 (XSS)
zvvq好,好zvvq
XSS 漏洞容许攻击者在受害人的浏览器中实行故意 JavaScript。这可用以盗取 cookie、对话 ID 或其它敏感信息。
本文来自zvvq
防范措施:
应用白名单认证用户输入。对输出开展 HTML 编号。对话固定漏洞 内容来自zvvq,别采集哟
对话固定漏洞容许攻击者挟持客户的对话。这能使攻击者得到对受害人账号的访问限制。
防范措施:
内容来自samhan666
始终应用任意且不可预测的对话 ID。在对话中获得按时对话交替。跨网站要求仿冒(CSRF)
CSRF漏洞容许攻击者蒙骗客户的浏览器实行未经授权的要求。这可用以变更用户配置文件或执行会计买卖。 zvvq.cn
防范措施: 本文来自zvvq
完成 CSRF 令牌或同步器令牌方式。认证要求的源头。编码注入漏洞
编码注入漏洞容许攻击者向您的应用程序引入恶意程序。这可以导致服务端的落实并带来灾难性的后果。 内容来自samhan
防范措施:
zvvq好,好zvvq
对输入开展白名单认证。应用参数化查看来防止 SQL 引入。实战案例
本文来自zvvq
假定您有一个用户可以建立贴子和评论的 Web 应用软件。攻击者可能递交包括故意 JavaScript的留言。如果你的应用程序没有正确认证并转义用户输入,则攻击者能够盗取浏览客户的对话 cookie并接手他的账号。 本文来自zvvq
如何修复
copyright zvvq
在你的 Java 代码中,您可以使用以下措施避免 XSS 漏洞: 内容来自samhan666
String sanitizedInput = Html.escapeHtml(userInput);
内容来自zvvq
此方法将转义一切 HTML 字符,避免实行故意 JavaScript。 zvvq.cn
以上就是java架构中最常见的安全漏洞的详细内容,大量请关注其他类似文章! zvvq.cn