手记

金融项目经验之代码安全

金融项目开发,貌似我都写了一个系列了~

有兴趣可以看看~虽然不是专业搞网安~但简单的还懂点~


做开发一方面熟知的漏洞如xss或者csrf或者sql注入

另一方面就是代码写法的安全性~


代码写法上不安全就会导致某些问题~


比如说id传值的问题~id=1,2,3这种样子~

或者某些传参数的接口~

有些就会出现问题~

对于这种细粒度的权限问题~

在代码里写逻辑~

判断当前用户的操作~


还有就是文件类~

文件的读取最好是一个fileid或者file的一个对应的哈西码~能唯一确定该文件的编号~

如果说直接在链接里能有file的文件地址~

就要注意如下操作了~

比如 path=../etc/password

或者 ../WEB-INF/web.xml

能下载到你的服务器上的一些资源~

这种样子过滤 ../


还有就是将网站的错误页面配置好~不要给黑客看到你的错误页面~

错误页面有些时候会告诉黑客你用的是什么版本的软件~

你可能代码上没有漏洞~

软件版本有漏洞就会造成入侵~


6人推荐
随时随地看视频
慕课网APP

热门评论

什么鬼

这样也可以么

查看全部评论