关于安全测试,访问权限处理 网络安全

admin 4月前 83

安全上要注意的点:

1.做好路径被频繁请求的屏蔽,比如验证码,

1.前台页面传来的参数全不可靠,后台接收时和保存前要做参数过滤和数据检查

1.越权操作,(不同级别,平级越权)

1.数据库字段长度的限制

1.敏感信息的加密处理

1.防注入,后台参数和sql的写法 

1.需要走电科院测试才能更新版本,自己留好后门进行自动更新版本的操作,(这个很6,可以将sql和配置写在前台页面,通过替换xml页面配置文件,来更新版本。当然这个xml文件是要加密的,然后存到库的对应数据都是密文)     

 

       一开始,为了防止用户的平级越权,(a用户通过了登录验证,进行查询时,给了b的sfz,查出b信息),我们在每个查询的时候都加了一段根据登录信息拿相应userId的操作,发现,为了防越权做了很多操作。

        后来某架构师给了我们些建议:有些细化到按钮或者一个点的权限,都存到库的时候,如果各种权限交合在一起,会以笛卡尔积的形式扩增导致数据库查询的压力,后期权限可能会存几千万条。

        他们是通过路径来判断权限的,所有页面请求路径,先经过一个filter,每个功能菜单menu定义一个唯一路径,经过filter分析用户有没有该路径的请求权,没有重定向的登录,即可做到屏蔽的效果。

————————————————

原文链接:https://blog.csdn.net/u012310865/java/article/details/102819035


少客联盟- 版权声明 1、本主题所有言论和图片纯属会员个人意见,与少客联盟立场无关。
2、本站所有主题由该帖子作者发表,该帖子作者admin少客联盟享有帖子相关版权。
3、少客联盟管理员和版主有权不事先通知发贴者而删除本文。
4、其他单位或个人使用、转载或引用本文时必须同时征得该帖子作者admin少客联盟的同意。
5、帖子作者须承担一切因本文发表而直接或间接导致的民事或刑事法律责任。
6、本帖部分内容转载自其它媒体,但并不代表本站赞同其观点和对其真实性负责。
7、如本帖侵犯到任何版权问题,请立即告知本站,本站将及时予与删除并致以最深的歉意。
8、官方反馈邮箱:chinasuc@chinasuc.cn


上一篇:【通知】论坛货币可以提现啦!
下一篇:Readdle Documents app 安全漏洞
Whatever is worth doing is worth doing well. juvenile hacker league
最新回复 (0)
    • 少客联盟
      2
        登录 注册 QQ登录(停用)
返回