常见安全漏洞项目解决方案.docVIP

. . Word格式 身份认证安全 弱密码 密码长度6个字符以上 密码字符必须包含大写字母、小写字母和数字，并进行密码复杂度检查 强制定期更换密码 密码存储安全 密码存储必须使用单向加密 单纯的md5,sha1容易被破解，需要添加随机的盐值salt 涉及支付及财产安全的需要更高的安全措施，单纯的密码加密已经不能解决问题。 可以考虑手机验证码、数字证书、指纹验证。 密码传输安全 密码前端加密 用户名、密码传输过程对称加密，可以使用密钥对的对称加密，前端使用公钥加密，后端使用私钥解密。 前端加密示例 引入脚本，rsa加密工具和md5加密工具 ... script src=${resourcepath}/jsencrypt/bin/jsencrypt.min.js type=text/javascript/script script src=${resourcepath}/jshash-2.2/md5-min.js type=text/javascript/script ... 前端加密脚本，省略了提交步骤 … script ... // rsa加密, var publicKey = ${rsaPublicKey}; var encrypt = new JSEncrypt(); encrypt.setPublicKey(publicKey); // 加密 var username = encrypt.encrypt($(input[name= username]).val()); var password = encrypt.encrypt($(input[name=password]).val()); ... /script … 注意：前端密码加密如果还用了md5加密的，先md5加密再rsa加密。 后端解密，省略了其他验证步骤 ShiroUserServiceImpl.java … public ShiroUser getUser(String name, Integer userType, Integer loginType) { name = RSAUtils.decryptBase64(name); … } … public boolean doValidUser(ShiroUser shiroUser, String password) { password = RSAUtils.decryptBase64(password); … } 启用https协议 登录页面、支付页面等高危页面强制https协议访问。 前端加密和https可以结合使用 SQL注入 描述 SQL注入攻击是黑客对数据库进行攻击的常用手段之一。随着B/S模式应用开发的发展，使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐，相当大一部分程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想得知的数据，这就是所谓的SQL Injection，即SQL注入。 解决办法 养成编程习惯，检查用户输入，最大限度的限制用户输入字符集合。 不要把没有检查的用户输入直接拼接到SQL语句中，断绝SQL注入的注入点。 SQL中动态参数全部使用占位符方式传参数。 正确 ... ListObject params = new ArrayListObject(); String sql = select * from user where login_name like ?; params.add(username); ... 正确 ... MapString,Object params = new HashMapString,Object(); String sql = select * from user where login_name like :loginname; params.put(username, username); ... 错误 ... String sql = select * from user where login_name = + username + ; ... 如果不能使用占位符的地方一定要检查SQL中的特殊符号和关键字，或者启用用户输入白名单，只有列表包含的输入才拼接到SQL中，其他的输入不可以。 String sql = select * from + SqlTools.filterInjection(tablename); 应急解决方案 nginx 过滤规则naxsi模块 a