最近在开发dileber框架的生成工具,生成大概明天就能上线,中间先插入一段无关紧要的博客,博客主要讲关于网络安全的:

日后会在dileber框架中体现安全开发

 

---------------------------------------我是分隔线--------------------------------------------------------------------------

先简单介绍一下XSS

XSS是一种注入类攻击目前分为三种

1、反射性

2、存储性

3、dom型

简单的xss大概就是一段js脚本代码

其他的还有 ifrom  img标签一类的

大概作用可以窃取cookie什么的,

如果要防范的话,

策略上呢,防止cookie被窃取用httponly可以解决,将关键的cookie用httponly

html最好在输出端做操作,貌似owasp可以帮你解决一类的

 

还有一种 CSRF(跨站请求伪造)

大概这种请求对受害者需要了解的比较多才能做到,

比如在受害者经常进入的网站里嵌入脚本什么的,链接的话就可以帮助你完成你想要的

 

解决方案呢:

可以试着验证 refer~什么的,但是不是很好

进一步可以试着用token来做验证

目前java的一些网站框架就自带这些东西了

 

还有一种就是 SSRF

大概就是服务器不小心被自己坑了~~

 

有关mysql 的权限~~要低权限哈~~别给太高的权限

 

注意文件上传的问题,如果上传了可执行文件,就会出现问题,注意监测

down.jsp?path=1.jsp

 

还有注意网站重定向

 

如果重定向是依靠网址重定向,则可能会被劫持跳转到其他钓鱼网站。

 

查询服务器目录

如果页面中有传路径查看文件可能会出现问题

比如  path=../etc/password

或者 ../WEB-INF/web.xml

 

解决过滤 ../

或者用file表或者hash值来做id

注意这些请求

curl:

ftp:

file:

 

sql注入工具 

sqlmap

 

xss

御剑

 

用户的role权限不建议写在session中