转自 http://www.haogongju.net/art/717448
代码相关:
1.sql注入,这个大家估计都知道,用预处理解决.这个问题很简单,但是在编程时只求完成任务,很多地方都没注意,在日后编程中要认真了。
2.cookie,用户登录时将用户名与密码加密后存放在cookie中,虽然加过密但是在firebug之类的工具下用document.cookie还是可以看到密文的,需要设置httponly.在servlet3.0规范中可以设置Cookie对象的httponly属性。对于之前的版本,需要直接response.setHeader来设置cookie,在字符串最后最后加上httponly就行了(由于最后为了简单直接将cookie去掉了,代码丢失),测试中发现使用这种方法只能为一个cookie设置httponly.一般来说用户与密码会分为两个cookie对象,那么用response.setHeader要调用两次,前一次会被后面的调用override,如果只调一次,将username与password都加上去,测试时发现不能成功。
3.flash安全配置,只允许信任网站的请求
4.尽管不使用第三方链接形式的js,iframe防止xss
tomcat相关:
一.tomcat默认的管理界面及doc信息要禁用
1.取消tomcat默认主页,禁止管理及文档页面的访问(解决可直接查看文件列表的目录、URL存在内部IP地址泄露、URL存在电子邮件地址模式、部分的无效链接、系统路径信息泄露)
a)tomcat/conf/server.xml
找到
<Host name="localhost" appBase="webapps"
unpackWARs="true" autoDeploy="true"
xmlValidation="false" xmlNamespaceAware="false">
在后面添加
<Context path="" docBase="smartspeed" debug="0" reloadable="true" />,将smartspeed设为tomcat默认主页,可以直接ip:port访问主页
b)删除tomcat/webapps下面的ROOT及tomcat-docs目录
tomcat/webapps/ROOT
tomcat/webapps/tomcat-docs
禁止管理页面与文档页面的使用
2.禁用不安全的HTTP方法(禁用掉PUT/DELETE/HEAD/OPTIONS/TRACE)
在tomcat/conf/web.xml的结束标签</webapp>之前加入
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
<login-config>
<auth-method>BASIC</auth-method>
</login-config>
3.将项目中未使用到的链接全部删除(不要小看这个,安全评估过不了的)
分享到:
相关推荐
Linux 环境下WEB项目布署总结.docxLinux 环境下WEB项目布署总结.docx
h3cse-security课程《布署安全防火墙系统(v1.1)》培训胶片 H3官方资料。共八章。
详细介绍了Ubuntu及Centos虚拟机上从安装jdk,tomcat,redis到布署web项目的全过程和局域网内虚拟机的网络访问及所有需要的linux命令
1.2 操作系统目录安全性及Web 应用程序布署环境目录遍历问题测试 2 2 应用程序测试 3 2.1 SQL 注入漏洞测试 3 2.1.1 SQL注入漏洞攻击实现原理 3 2.1.2 SQL注入漏洞防范措施 4 2.1.3 SQL注入漏洞检测方法 5 2.2...
1、后台可以使用Nginx转发,使请求是同源 2、在请求头里添加一个新属性,比如token,并将cookie值赋给它 3、在请求参数里统一添加cookie的值
H3CSE-Security课程《布署安全防火墙系统(v1.1)》 比较简洁全面的介绍资料。
【全开源】专注于 企业云布署(SaaS) 的即时通讯IM系统,基于teamtalk 开源项目二次开发,群集布置效果优化,业务模块与底层分离,能快速与自已现有系统对接,可用于企业OA,内部办公IM,App聊天沟通等业务场景。...
NULL 博文链接:https://jsrookie.iteye.com/blog/294756
专注于 企业云布署 的即时通讯系统,基于teamtalk开源项目二次开发,采用 t-io 内核做为websocket服务端核心技术模块,群集布置效果优化,业务模块与底层分离,能快速与自已现有系统对接。支持音,视频通话,支持 andoird...
详细说明了如何制作C#安装程序,并加入了自动检测和安装.framework 语言包的说明!
当基于Web的应用程序需要跨多个Web应用程序容器(如 IBM:registered: WebSphere:registered: Application Server、BEA WebLogic 和 Tomcat 等,这里仅指出三个)部署时,跨网络兼容性不够。对于Java Web服务,没有跨...
海康威视控件包V3.3.0
指定一个源提取目录,设置一些参数,然后运行本程序,提取在指定时间内创建或修改的文件,自动生成相同结构文件夹,适用于编译程序布署
3) 这样一个需求寻求解决方案(无服务器运行WEB) :客户端不能上网,客户通过光盘U盘等方式COPY程序(网站程序)到自己的电脑上后可以正常地进行查询等功能,现在问题是:客户不可能去装个IIS来布署网站,又要求是B/...
ant例子说明 (先下载并解压ant,并将ant的bin目录放到系统变量中.cmd运行测试ant即可) 1.新建一个类, 在内部写好main方法 ... 参看本例子后,相信马上可以摆脱IDE的限制,自己布署web/桌面的java程序.
H3C部署安全防火墙系统(新编)
基于HTTP的应用程序布署和更新方案
包括STM32、ESP8266、PHP、QT、Linux、iOS、C++、Java、python、web、C#、EDA、proteus、RTOS等项目的源码。 【项目质量】: 所有源码都经过严格测试,可以直接运行。 功能在确认正常工作后才上传。 【适用人群】...
Exchange2013 安装 的先决条件 布署文档
这是关于VS2005打包Winform应用的程序的详细说明,有图片。