金融项目开发,貌似我都写了一个系列了~
有兴趣可以看看~虽然不是专业搞网安~但简单的还懂点~
做开发一方面熟知的漏洞如xss或者csrf或者sql注入
另一方面就是代码写法的安全性~
代码写法上不安全就会导致某些问题~
比如说id传值的问题~id=1,2,3这种样子~
或者某些传参数的接口~
有些就会出现问题~
对于这种细粒度的权限问题~
在代码里写逻辑~
判断当前用户的操作~
还有就是文件类~
文件的读取最好是一个fileid或者file的一个对应的哈西码~能唯一确定该文件的编号~
如果说直接在链接里能有file的文件地址~
就要注意如下操作了~
比如 path=../etc/password
或者 ../WEB-INF/web.xml
能下载到你的服务器上的一些资源~
这种样子过滤 ../
还有就是将网站的错误页面配置好~不要给黑客看到你的错误页面~
错误页面有些时候会告诉黑客你用的是什么版本的软件~
你可能代码上没有漏洞~
软件版本有漏洞就会造成入侵~
点击查看更多内容
6人点赞
评论
共同学习,写下你的评论
评论加载中...
作者其他优质文章
正在加载中
感谢您的支持,我会继续努力的~
扫码打赏,你说多少就多少
赞赏金额会直接到老师账户
支付方式
打开微信扫一扫,即可进行扫码打赏哦