前往小程序,Get更优阅读体验!
立即前往
首页
学习
活动
专区
工具
TVP
发布
社区首页 >专栏 >项目-安全架构

项目-安全架构

作者头像
洋仔聊编程
发布2019-01-15 16:41:53
4360
发布2019-01-15 16:41:53
举报
文章被收录于专栏:Java开发必知必会

网站安全至关重要,项目越大越应该注重安全问题,以下通过六个方面进行项目安全性方面的控制.

一:权限控制

     1)将用户分权限,不同权限的用户具有不同的功能,不可以进行跨权限进行非正常操作。

     2)将不可被直接访问的页面隐藏,使其只能通过页面内部跳转进行访问。

     3)实现:对于1)可以使用安全性框架进行权限管理,例如:shiro、spring security等。

                     对于2)可以将需要隐藏的页面放在eclipse中的WEB-INF下等。

二:信息加密以及密匙管理

     1)用户的一些敏感信息,比如用户的登陆密码等,在数据库中不可以用明文存储,需要进行加密存储。这样即使玩意被黑客入侵,得到的数据也是加密后的数据,不会造成大的损失。

     2)信息的加密和解密与密匙密不可分,那么密匙的安全管理也极为重要。信息的安全是靠密匙保证的。

     3)实现:对于1)的实现,可以使用单向散列加密、对称加密、非对称加密其中一个算法进行加密后存储在数据库中。

                     对于2)的实现,在1)中使用的加密算法,都需要依靠安全的密匙才可以进行安全的加密。一种方案是把密匙和算法放在一个独立的服务器上,甚至做成一个专门的硬件设施,但是成本较高,系统开销也大.另一种方案是将加解密算法放在应用系统中,密匙则放在独立服务器中,为了提高安全性,可以将密匙分片存储。

三:设置登录和服务器访问日志

     1)设置日志,记录来访者的 IP ,传递参数,对后台操作用户建立日志,记录其操作内容。完善的日志记录可以帮助你发现潜在的危险,找到已经发生的问题。

四:具体安全问题防护 

    1)sql注入,XSS攻击,CSRF攻击,文件上传漏洞,弱口令漏洞,自定义抛出异常信息,后退键缓存信息泄漏,注释漏洞等。

    2)实现:架构中安全性系列笔记

五:设置web应用防火墙

    1)使用一款能够统一拦截请求,过滤恶意参数,自动消毒(转换恶意字符),自动添加token,并且能根据最新攻击和漏洞自动升级,处理掉大部分的网络攻击的产品 ——ModSecurity

    2)NodSecurity,一款开源的Web应用防火墙。 可在项目中使用。

六:网站安全漏洞测试

    1)当我们将项目的安全性设置完毕后,要进行安全测试。

    2)网站安全漏洞扫描:使用扫描工具,对网站模拟各种黑客攻击手段,检测网站安全性。市场上有许多安全扫描平台。

    3)已知安全漏洞测试

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2018年06月15日,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
相关产品与服务
数据库
云数据库为企业提供了完善的关系型数据库、非关系型数据库、分析型数据库和数据库生态工具。您可以通过产品选择和组合搭建,轻松实现高可靠、高可用性、高性能等数据库需求。云数据库服务也可大幅减少您的运维工作量,更专注于业务发展,让企业一站式享受数据上云及分布式架构的技术红利!
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档