在最近的一次采访中,有人问我:
开源 Web 应用程序(比如构建在 Struts/Spring 上)更容易受到黑客攻击,因为任何人都可以访问源代码并对其进行更改。如何预防?
我的回复是:
Java 源代码不可直接访问。它被编译成类文件,然后被捆绑在一个 war 文件中,并部署在一个安全的容器中,比如 Weblogic 应用程序服务器。 应用服务器位于企业防火墙后面,无法直接访问。
当时 - 我没有提到任何关于 XSS 和 SQL 注入(inject)的事情,它们会影响类似于开源应用程序的基于 COTS 的 Web 应用程序。
我的问题:
a) 我对问题的回答是否正确?
b) 我可以在答案中添加哪些附加点?
提前致谢。
编辑:
虽然我在消化您的回复 - 让我也指出这个问题也是针对 Liferay 和 Apache OFBiz 等框架的。
最佳答案
这个问题是通过默默无闻的方式对安全性进行隐蔽的争论。我建议您阅读通常支持和反对的论点,看看它们是否相符:
我个人的看法是,默默无闻充其量是抵御攻击的最薄弱一层。它可能有助于过滤掉由不知情的攻击者发起的自动攻击,但对坚决的攻击没有多大帮助。
关于java - 开源网络应用程序更容易被黑客攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3545095/