j2ee安全开发.pptVIP

J2EE安全开发 杭州安恒信息技术有限公司 Java 代码编码安全 代码框架安全 2 一、开发中常见漏洞介绍及示例说明和可参考的解决方法： Web通用： XSS、CSRF、SQL注入、文件上传等 J2EE特点所致: 组件信息泄露、安全目录绕过等 4 Web通用 -- XSS 描述： 攻击者对应用的页面注入恶意脚本（通常是指html脚本），然后在页面执行这个恶意脚本，到达攻击目的。 通常类型：反射型、存储型两大类（还有些如：所谓的DOM型等） 示例： 一个用户输入并在页面输出的简单功能在jsp里的实现（servelt或框架实现同理）， Nebula.jsp伪代码： %@ page language=java contentType=text/html; charset=utf-8 pageEncoding=utf-8% !DOCTYPE html PUBLIC -//W3C//DTD HTML 4.01 Transitional//EN /TR/html4/loose.dtd html head meta http-equiv=Content-Type content=text/html; charset=utf-8 titledemo/title /head body % String input