上一篇 <<<Web常用攻击手段-忘记密码
下一篇 >>>安全技术--数据加密/认证技术
隐藏域问题
A页面提交数据到B页面后作为隐藏域一并提交
(B页面若无逻辑判断,攻击者很容易在B页面修改数据后一并提交)
HTML注释问题
使用html的注释会增加攻击者的阅读性及带宽量,应该改为jsp的注释,在编译的时候会自动删除掉。
异常信息直接展示
很多人喜欢在给客户端报错的时候,会很明确的告知哪个字段,甚至是哪个表。这无疑暴露了服务端的信息,会存在很大的安全隐患,应该把错误码异常等进行封装。
业务ID连续性
http://127.0.0.1/user/detail?userId=1232这种带有ID信息的,很容易让攻击者去扫描获取更多的信息,底层应该做好权限的判断。
如何防止DDOS攻击请求
思想:对我们接口实现API的限流
a、可以使用nginx防御DDOS攻击,对用户的频率实现限制
b、基于网关整合服务保护框架 Hystrix、Sentinel
c、基于网关实现黑名单和白名单拦截
d、多次请求必须要经过图形验证码识别才可以访问接口
相关文章链接:
<<<Web常用攻击手段-XSS攻击
<<<Web常用攻击手段-SQL注入
<<<Web常用攻击手段-Http请求防盗链
<<<Web常用攻击手段-CSRF攻击
<<<Web常用攻击手段-上传文件漏洞
<<<Web常用攻击手段-忘记密码
<<<安全技术--数据加密/认证技术
<<<安全技术--Https相关知识
<<<安全技术--接口幂等性设计
<<<安全框架--SpringSecurity
<<<安全框架--JWT
<<<安全框架--OAuth2
<<<安全架构整体设计方案
网友评论