最近接触的安全性测试点
上一篇 /
下一篇 2016-01-06 21:45:28
1.防止sql注入(Hibernate本身可以解决 ?):
检查每个数据交互页面,前后端应该同时使用正则表达式对客户端传入参数进行严格过滤,禁止出现select、from、where、union、and、or、exec等sql关键字,限制参数长度
2.更新到较新/稳定的jQuery库
3.设置Cookie的 HttpOnly 和 Secure标识
4.防止上传漏洞:凡是上传到服务端的文件,必须做内容检测(非文件后缀)以判断真实文件格式,并对文件改名(随机重命名)
5.设置目录权限(如D盘upload设置不可执行)
6.防止跨站脚本工攻击:
过滤输入, 禁止出现<>、<script>、<iframe>、alert等脚本标记及html代码:
String testUrl =request.getParameter("testUrl");
successUrl = successUrl.replaceAll("<","")//匹配尖括号
.replaceAll(">","")//匹配尖括号
.replaceAll("\"","")//匹配双引号
.replaceAll("\'","")//匹配单引号
.replaceAll("
\\(.*?\\)","")//匹配左右括号
.replaceAll("[+]","");//匹配加号
7.建议表单增加token(令牌)或其他机制,防止重复提交
8.增加文件直接下载链接请求限制
收藏
举报
TAG:
安全性