网站安全至关重要,项目越大越应该注重安全问题,以下通过六个方面进行项目安全性方面的控制.
一:权限控制
1)将用户分权限,不同权限的用户具有不同的功能,不可以进行跨权限进行非正常操作。
2)将不可被直接访问的页面隐藏,使其只能通过页面内部跳转进行访问。
3)实现:对于1)可以使用安全性框架进行权限管理,例如:shiro、spring security等。
对于2)可以将需要隐藏的页面放在eclipse中的WEB-INF下等。
二:信息加密以及密匙管理
1)用户的一些敏感信息,比如用户的登陆密码等,在数据库中不可以用明文存储,需要进行加密存储。这样即使玩意被黑客入侵,得到的数据也是加密后的数据,不会造成大的损失。
2)信息的加密和解密与密匙密不可分,那么密匙的安全管理也极为重要。信息的安全是靠密匙保证的。
3)实现:对于1)的实现,可以使用单向散列加密、对称加密、非对称加密其中一个算法进行加密后存储在数据库中。
对于2)的实现,在1)中使用的加密算法,都需要依靠安全的密匙才可以进行安全的加密。一种方案是把密匙和算法放在一个独立的服务器上,甚至做成一个专门的硬件设施,但是成本较高,系统开销也大.另一种方案是将加解密算法放在应用系统中,密匙则放在独立服务器中,为了提高安全性,可以将密匙分片存储。
三:设置登录和服务器访问日志
1)设置日志
,
记录来访者的 IP ,传递参数,对后台操作用户建立日志,记录其操作内容。完善的日志记录可以帮助你发现潜在的危险,找到已经发生的问题。
四:具体安全问题防护
1)sql注入,XSS攻击,CSRF攻击,文件上传漏洞,弱口令漏洞,自定义抛出异常信息,后退键缓存信息泄漏,注释漏洞等。
2)实现:架构中安全性系列笔记
五:设置web应用防火墙
1)使用一款能够统一拦截请求,过滤恶意参数,自动消毒(转换恶意字符),自动添加token,并且能根据最新攻击和漏洞自动升级,处理掉大部分的网络攻击的产品 ——ModSecurity
2)NodSecurity,一款开源的Web应用防火墙。 可在项目中使用。
六:网站安全漏洞测试
1)当我们将项目的安全性设置完毕后,要进行安全测试。
2)网站安全漏洞扫描:使用扫描工具,对网站模拟各种黑客攻击手段,检测网站安全性。市场上有许多安全扫描平台。
3)已知安全漏洞测试