javaWeb安全问题

解决xss和crfs问题 

方案: http://www.hollischuang.com/archives/69

java jps命令相关  

http://www.hollischuang.com/archives/105

jstack 命令相关

检测java程序是否有memory leak等问题    http://www.hollischuang.com/archives/110

jstat  命令 

 内存占用情况,gc 频率等  http://www.hollischuang.com/archives/481

java base64编码 

 简单的编码策略,防止数据明文传输    http://hw1287789687.iteye.com/blog/1910853 

java 加密各种算法  

jdk原生支持的算法     http://www.360sdn.com/java/2016/0424/7434.html

数据安全和数据加密

(详细介绍了加密相关的东西)   http://www.cnblogs.com/wxbjs/archive/2011/09/02/2163540.html



加密数据库字段不是一种好方法么?

 stackexchange网站上,某人的问题   https://security.stackexchange.com/questions/16939/is-it-generally-a-bad-idea-to-encrypt-database-fields

                                                                            怎样考虑网络、数据安全问题(翻译       ↑   )
      

      在处理、解决安全问题之前,首先要了解基本的安全概念。网络数据安全是一个专门领域。
你不可能通过在街上随机找个人做关于个人隐私的调查问卷,你也不能期望大部分软件
开发了解如何保护你的系统。
       

       我认为在网络数据安全问题上有很多误解。例如,数据加密就能保证数据安全。这明显是一个
误解。如Bruce Schneier(安全界专家)强调的,加密对于系统安全并不是万能药。Roger Needham 
曾经说过,假如你认为加密就可以解决你的问题,要么是你不理解什么是加密,要么是你更本不了解
你的问题。
    

      保护计算机系统安全,一个重要的概念是风险模型。这意味着你需要自己思考你所面临的攻击是什么,你面对的是怎样的对手,

以及哪些是你不需要考虑的问题。没有仔细考虑风险模型会带来安全隐患。
看上去很合理的安全机制,实践中可能会暴露很多问题。好的安全管理通常归结为风险管理。仔细分析
哪些是最严重的风险,然后针对性的考虑降低或管理这些风险。
   

   理解安全问题的脆弱性,你的系统安全保护是很脆弱的。整个系统的任意部分都有可能导致整个系统
受到影响。保护好你的系统并不是单单靠一个点就能解决的。你需要考虑方方面面。
  

    说的详细点,假如你的目标是阻止未授权用户访问你的敏感数据。那么你需要考虑以下几个方面。
解决安全问题没有银弹,你需要全面考虑问题。
以下是一些关于数据安全的建议:


应用安全
     你需要了解web应用的安全问题。无论你对数据如何加密,假如攻击菏泽能够找到你系统中某些代码
的漏洞,那么你就中招了。对于web应用,OWASP 有列举了很多精彩的列子。确保你知道OWASP Top Ten,guanyu XSS
,SQL注入,输入验证、输出转义、白名单等其他概念。


  访问控制

  你的web应用需要一些访问控制策略。来限制哪些人能够访问,哪些不能。了解各种访问控制的策略,比如黑白名单
访问token等。


   认证
        对于登录用户,你需要一些认证机制。标准的方式是通过用户名密码登录。但是单单通过用户名密码的方式
还是有些限制。假如用户使用了弱密码,那么这将减弱系哦他能够的安全性。
  
    在整个软件开发周期的安全机制
在开发系统的时候就要从架构层面上考虑安全问题,做风险分析。编码阶段注意一些常见的安全问题.
发布部署阶段也要注意一些问题。详细参考关键字BSIMM。


   安全评估
   假如在意系统的安全问题。你做好对系统做一个安全评估。第一步就是对你的系统做一个渗透测试,
检查一些通常的问题。虽然渗透测试无法做到面面俱到,至少他能保证你的系统在一些常见问题上有一定的抗攻击能力。   


    总的来说,你不需要成为一个安全专家,毕竟假如真的有黑客攻击,除非他们是弱鸡,否则“良辰有一百种方式攻破你的系统”。
但是假如考虑了那些基本的,如SQL注入、XSS、输入验证等问题,那么应付应付“脚本小子”还是可以的。
 ----the end-------------------- 
  

OWSAP:10个最重大的Web应用风险与攻防   

http://blog.csdn.net/lifetragedy/article/details/52573897

1、注入;2、失效的authenication、session管理;3、XSS跨站脚本攻击;4、不安全的对象直接引用;5、CSRF伪造跨站请求

6、安全误配置;7、限制URL访问失败(缺少功能接访问空值);8、未验证的重定向和转发;9引用一直脆弱性的组件;10敏感暴露

注: OWASP (Open Web Application Security Project) is an organization that provides unbiased and practical, cost-effective information about computer and Internet applications.   开放式Web应用程序安全项目 


你可能感兴趣的:(javaWeb安全问题)