update readme.md
This commit is contained in:
dushitaoyuan
11
Readme.md
11
Readme.md
@@ -1,15 +1,17 @@
|
||||
# web 安全常见漏洞
|
||||
|
||||
1. sql 注入 </br>
|
||||
## 常见漏洞及解决方案
|
||||
|
||||
1. sql 注入
|
||||
|
||||
解决方案:参数检测,拦截非法入参,后端使用druid 连接池的sql防火墙
|
||||
参见:com.taoyuanx.securitydemo.web
|
||||
|
||||
2.xss攻击 </br>
|
||||
2. xss攻击
|
||||
|
||||
解决方案:参数检测,拦截非法入参,转义html字符,参见com.taoyuanx.securitydemo.web
|
||||
|
||||
</br>
|
||||
|
||||
|
||||
3. 跨站请求
|
||||
|
||||
@@ -46,7 +48,7 @@
|
||||
|
||||
解决方案:采用https协议,参数签名,返回值签名,防止参数或返回值被篡改
|
||||
|
||||
12 slowhttp 攻击
|
||||
12. slowhttp 攻击
|
||||
|
||||
解决方案:限制恶意访问,有钱的买防护工具,(阿里云盾,知道创宇等),没钱的多部署几台机器,修改连接超时时间,事后分析ip,封禁
|
||||
协议漏洞,没啥好防护的策略,没钱的事后防范吧
|
||||
@@ -56,3 +58,4 @@
|
||||
## esapi 介绍
|
||||
|
||||
此jar包为一个比较全面的安全库,控制较为全面,业务较为复杂的可自行扩展
|
||||
基本使用例子:com.taoyuanx.securitydemo.EsapiTest
|
||||
@@ -15,7 +15,7 @@
|
||||
class="ch.qos.logback.core.rolling.RollingFileAppender">
|
||||
<rollingPolicy class="ch.qos.logback.core.rolling.TimeBasedRollingPolicy">
|
||||
<!--日志文件输出的文件名 -->
|
||||
<FileNamePattern>${LOG_HOME}/cert.log.%d{yyyy-MM-dd}.log
|
||||
<FileNamePattern>${LOG_HOME}/demo.log.%d{yyyy-MM-dd}.log
|
||||
</FileNamePattern>
|
||||
<!--日志文件保留天数 -->
|
||||
<MaxHistory>30</MaxHistory>
|
||||
|
||||
Reference in New Issue
Block a user