给定一个数据库 (MySQL) 驱动的 Web 应用程序,该 Web 应用程序完全用 vanilla J2EE(没有框架等)编写,没有任何安全尝试(除了基本的数据库登录系统)。您应该采取什么步骤来保护它?
有关此的任何资源也很方便。 (我找到了 OWASP)。
谢谢!
最佳答案
你的要求很抽象:你已经提到了OWASP它通常负责 Web 应用程序的安全性。以下是对 Web 应用程序的一些最常见的攻击
- 跨站脚本 (XSS)
- SQL注入(inject)
- 传输层安全性不足(未使用 HTTPS)
- 暴力破解(对登录尝试次数没有限制,不使用 captcha )
- 拒绝服务攻击。
还有很多,但这些是最常见的。 OWASP 解决了其中的大部分问题。现在要保护您的 Web 应用程序免受这些攻击中的每一种攻击,请通过理论部分(谷歌相同)然后查看 OWASP 是否有一些解决方法,如果没有,有很多开源/免费代码可用于此。例如,为了使用验证码,Google 提供了 free captcha service同样。
关于java - 保护 Tomcat Web 应用程序,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/8562524/