培训资料--Day2_J2EE安全开发.pptVIP

J2EE安全开发杭州安恒信息技术有限公司Java代码编码安全代码框架安全2一、开发中常见漏洞介绍及示例说明和可参考的解决方法：Web通用：XSS、CSRF、SQL注入、文件上传等J2EE特点所致:组件信息泄露、安全目录绕过等4Web通用--XSS描述：攻击者对应用的页面注入恶意脚本（通常是指html脚本），然后在页面执行这个恶意脚本，到达攻击目的。通常类型：反射型、存储型两大类（还有些如：所谓的DOM型等）示例：一个用户输入并在页面输出的简单功能在jsp里的实现（servelt或框架实现同理），Nebula.jsp伪代码：%@pagelanguage=javacontentType=text/html;charset=utf-8pageEncoding=utf-8%!DOCTYPEhtmlPUBLIC-//W3C//DTDHTML4.01Transitional//EN/TR/html4/loose.dtdhtmlheadmetahttp-equiv=Content-Typecontent=text/html;charset=utf-8titledemo/title/headbody%Stringinput=request.getParameter(input);out.print(我的输入：+input);%/body/html注入的Javascript脚本被解析执行，形成一