J2EE安全開發(PPT 92頁)
- 所屬分類:
- 安全生產
- 文件大小:
- 3721 KB
- 下載地址:
- 相關資料:
- j2ee
J2EE安全開發(PPT 92頁)內容簡介
Java代碼編碼安全
代碼框架安全
一、開發中常見漏洞介紹及示例說明和可參考的解決方法:
Web通用:
XSS、CSRF、SQL注入、文件上傳等
J2EE特點所致:
組件信息泄露、安全目錄繞過等
注入的Javascript腳本被解析執行,形成一個反射型XSS:
危害:
對於一般應用,用戶cookie盜取(普通用戶及管理員登錄cookie)非法登錄應用。
例如:tomcat與瀏覽器身份驗證的sessionid是已cookie的形式存儲瀏覽器客戶
端
但可能有些標簽在實際開發需要顯示輸出(如:![]()
標簽),影響到正常業務。就可以使用HTTPOnly方式防禦,jsp顯示模版示例偽代碼:
response.setHeader(“Set-Cookie”,“cookiename=value;Path=/;Domain=domainvalue;Max-、Age=seconds;HTTPOnly");
設置HTTPOnly後,js域就無法獲取cookie了,緩解危害!
..............................
代碼框架安全
一、開發中常見漏洞介紹及示例說明和可參考的解決方法:
Web通用:
XSS、CSRF、SQL注入、文件上傳等
J2EE特點所致:
組件信息泄露、安全目錄繞過等
注入的Javascript腳本被解析執行,形成一個反射型XSS:
危害:
對於一般應用,用戶cookie盜取(普通用戶及管理員登錄cookie)非法登錄應用。
例如:tomcat與瀏覽器身份驗證的sessionid是已cookie的形式存儲瀏覽器客戶
端
但可能有些標簽在實際開發需要顯示輸出(如:
response.setHeader(“Set-Cookie”,“cookiename=value;Path=/;Domain=domainvalue;Max-、Age=seconds;HTTPOnly");
設置HTTPOnly後,js域就無法獲取cookie了,緩解危害!
..............................