可以采取哪些步骤来确保使用Hibernate,Spring和JSF的Web应用程序是安全的?可以存在哪些漏洞以及哪些安全框架是标准的?
答案 0 :(得分:3)
仅使用框架无法解决安全问题。它需要大量的教育,理解,创造力和风险评估,以避免犯错误。
首先阅读这些网址
绝对能够快速掌握各种漏洞等。 安全性介绍,包括“无银弹”文章。
答案 1 :(得分:2)
Joel Coehoorn和其他几个人通过回答类似问题here注意到了一系列良好的做法:
- 要消化很多,但OWASP开发指南涵盖了网站 安全从上到下
- 了解SQL注入以及如何防止它
- 永远不要相信用户输入(Cookie也算作用户输入!)
- 加密哈希和盐密码,而不是将其存储为纯文本。
- 不要试图想出你自己的花哨认证系统:就是这样 一件容易的事情 - 微妙的错误 和不可测试的方式,你不会 甚至知道它直到你之后 黑客攻击。
- 了解处理信用卡的规则。也看到这个问题:
- Payment Processors - What do I need to know if I want to accept credit cards on my website?
- 使用SSL / HTTPS登录以及输入敏感数据的任何页面 (如信用卡信息)
- 如何抵制会话劫持
- 避免跨站点脚本(XSS)
- 避免跨站点请求伪造(XSRF)
- 使用最新的补丁保持您的系统最新
- 确保您的数据库连接信息是安全的。
- 随时了解最新的攻击技巧和方法 影响你的漏洞 平台。
- 阅读Google浏览器安全手册
答案 2 :(得分:2)