近年来安全越来越重要,本文总结了一下安全方面常用的。
后续新知识会进行补充。
1、XSS攻击
利用HTML的部分元素直接或间接触发的功能来达到攻击者想要的目的(跳转链接或者发送请求)。
解决:DOM Parse过滤,反转义等。
2、SQL注入
在URL或者表单等传入后端的请求中添加一些字符使得SQL执行异常或超出了预期的范围。
如在SQL中根据ID查找时,填写id=-1 OR 1=1,查找了全部数据。或者在字符串录入时,加“'、"、-- 、#”等(--后有空格表示注释SQL)。
解决:1)对录入文字进行格式校验;(正则)
2)对录入文字反编译;
3)使用SQL模板来传值。(JDBC中?的处理方式)
ps:关于SQL注入Hibernate和JPA都处理好了,所以不用担心,只有mybatis和JDBC处理时需要处理。
3、服务器扫描知识
可能会用到的命令:
ping:测试ICMP是否通畅;
fping:批处理ping。
hping:可以虚拟IP地址,进行TCP测试通畅。
mc:可以进行TCP测试。
treatrount:路由测试。
4、白名单
将允许通过的IP或者用户存储在某一列表中,执行某操作时,先查询该IP或者用户是否存在在白名单中,选择是否放行。
5、盐值
通常用于加密算法中,使得密码不容易被撞库。
网友评论