【web安全】京东商城WEB 安全开发手册

2020年2月22日 写评论

目录

  1. 客户端安全 …………………………………………………………………………………………………………….. 5
    1.1. 跨站脚本漏洞 ……………………………………………………………………………………………. 5
    1.1.1. 跨站脚本攻击说明 …………………………………………………………………………………….. 5
    1.1.2. 跨站脚本示例 ……………………………………………………………………………………………. 5
    1.1.3. 跨站脚本漏洞影响 …………………………………………………………………………………….. 6
    1.1.4. HTML 跨站脚本漏洞 ………………………………………………………………………………… 6
    1.1.5. JavaScript 跨站脚本漏洞 ………………………………………………………………………….. 7
    1.1.6. JSON 跨站脚本漏洞 …………………………………………………………………………………. 8
    1.1.7. URL 跨站脚本漏洞 ……………………………………………………………………………………. 9
    1.1.8. CSS 样式跨站脚本漏洞 …………………………………………………………………………… 10
    1.1.9. 副文本跨站脚本漏洞 ……………………………………………………………………………….. 10
    1.2. URL 跳转漏洞 …………………………………………………………………………………………. 11
    1.2.1. URL 跳转漏洞说明 ………………………………………………………………………………….. 11
    1.2.2. 解决方案 …………………………………………………………………………………………………. 11
    1.2.3. 参考实践 …………………………………………………………………………………………………. 11
    1.3. JSON 挟持漏洞 ………………………………………………………………………………………. 13
    1.3.1. JSON 挟持漏洞说明 ……………………………………………………………………………….. 13
    1.3.2. JSON 挟持实例 ………………………………………………………………………………………. 13
    1.3.3. JSON 挟持解决 ………………………………………………………………………………………. 13
    1.3.4. 最佳实践参考代码 …………………………………………………………………………………… 13
    1.4. XSIO 攻击 ………………………………………………………………………………………………. 14
    1.4.1. XSIO 漏洞说明 ……………………………………………………………………………………….. 14
    1.4.2. XSIO 漏洞实例 ……………………………………………………………………………………….. 14
    1.4.3. XSIO 漏洞解决 ……………………………………………………………………………………….. 15
    1.5. Cross-site request forgery(跨站请求伪造) ………………………………………. 15
    1.5.1. CSRF 介绍 ………………………………………………………………………………………………. 15
    1.5.2. CSRF 实例 ………………………………………………………………………………………………. 15
    1.5.3. 解决方案 …………………………………………………………………………………………………. 16
    1.6. FLASH 安全 ……………………………………………………………………………………………. 17
    1.6.1. FLASH 客户端安全 …………………………………………………………………………………. 17
    1.6.2. FLASH 服务端安全 …………………………………………………………………………………. 18
  2. 服务端安全 …………………………………………………………………………………………………………… 21
    2.1. SQL 注入 ………………………………………………………………………………………………… 21
    2.1.1. SQL 注入说明 …………………………………………………………………………………………. 21
    2.1.2. SQL 注入影响 …………………………………………………………………………………………. 22
    2.1.3. SQL 注入示例 …………………………………………………………………………………………. 22
    2.1.4. SQL 注入解决方法 ………………………………………………………………………………….. 22
    2.2. 上传漏洞 …………………………………………………………………………………………………. 24
    2.2.1. 常见上传漏洞 ………………………………………………………………………………………….. 24
    2.2.2. 上传漏洞解决方案 …………………………………………………………………………………… 25
    2.3. 任意文件下载漏洞 …………………………………………………………………………………… 26
    2.3.1. 任意文件下载漏洞说明 ……………………………………………………………………………. 26
    2.3.2. 任意文件下载漏洞示例 ……………………………………………………………………………. 26
    2.3.3. 任意文件下载漏洞解决方案 …………………………………………………………………….. 27
    2.4. XML 注入漏洞 ………………………………………………………………………………………… 28
    2.4.1. XML 注入示例 ………………………………………………………………………………………… 28
    2.4.2. XMl 注入解决方案 ………………………………………………………………………………….. 29
    2.5. HTTP 协议头漏洞 ……………………………………………………………………………………. 29
    2.5.1. HTTP 协议头X-Forwarded-For 伪造漏洞 ……………………………………………… 29
    2.5.2. HTTP 响应头注入漏洞(CRLF) …………………………………………………………….. 30
    2.6. 代码注入攻击 ………………………………………………………………………………………….. 32
    2.6.1. 代码注入攻击说明 …………………………………………………………………………………… 32
    2.6.2. 攻击示例 …………………………………………………………………………………………………. 32
    2.6.3. 解决方案 …………………………………………………………………………………………………. 33
    2.7. 框架安全 …………………………………………………………………………………………………. 34
    2.7.1. Struts2 远程代码执行 …………………………………………………………………………….. 34
    2.7.2. SpringMVC 远程代码执行漏洞 ………………………………………………………………. 35
    2.7.3. ThinkPHP 远程代码执行漏洞 …………………………………………………………………. 36
    2.8. 权限控制 …………………………………………………………………………………………………. 37
    2.8.1. 水平权限控制 ………………………………………………………………………………………….. 37
    2.8.2. 垂直权限控制 ………………………………………………………………………………………….. 37
    2.8.3. 权限控制解决方案 …………………………………………………………………………………… 38
  3. WEB 数据安全 ……………………………………………………………………………………………………… 38
    3.1. 登录安全 …………………………………………………………………………………………………. 38
    3.1.1. 登录安全说明 ………………………………………………………………………………………….. 38
    3.1.2. 登录逻辑安全 ………………………………………………………………………………………….. 38
    3.2. HTTP 传输安全……………………………………………………………………………………….. 40
    3.2.1. HTTP 传输签名……………………………………………………………………………………….. 40
    3.3. Cookie 安全 …………………………………………………………………………………………… 40
    3.3.1. HTTP 协议HttpOnly 属性 ……………………………………………………………………… 40
    3.3.2. HTTP 协议secure 属性 ………………………………………………………………………….. 41
    3.4. 密码存储安全 ………………………………………………………………………………………….. 41
    3.4.1. 单次MD5 加密算法问题 ………………………………………………………………………… 41
    3.4.2. BASE64 编码安全 …………………………………………………………………………………… 43
    3.4.3. 随机加密算法(加盐法) ………………………………………………………………………… 44
    3.5. 错误处理 …………………………………………………………………………………………………. 45
    3.5.1. 攻击示例 …………………………………………………………………………………………………. 45
    3.5.2. 解决方法 …………………………………………………………………………………………………. 46
  4. WEB 配置安全 ……………………………………………………………………………………………………… 47
    4.1. NGINX 安全配置 ……………………………………………………………………………………. 47
    4.2. APACHE 安全配置 ………………………………………………………………………………….. 47
    4.3. TOMCAT 安全配置…………………………………………………………………………………. 48
  5. 安全开发SDL ……………………………………………………………………………………………………….. 49
    5.1. SDL 流程 ………………………………………………………………………………………………… 49

下载地址:https://t.zsxq.com/N3fmAEq

发表评论

电子邮件地址不会被公开。 必填项已用*标注