超级会员免费看
系统安全漏洞与调试策略
1. 调试器在系统安全中的作用
为了确保系统安全,首先要了解系统可能的崩溃方式。一旦理解了系统被攻击的过程,就可以测试其安全性,而调试器在这方面非常有用。以下是一些常见的漏洞及检测和测试方法。
1.1 注入漏洞
SQL 注入是一种广为人知的注入漏洞,但还有很多变体。下面是一个简单的示例:
executeSql("select * from MyTable where id = " + id);
这段代码看似无害,但却是一个巨大的漏洞,在互联网早期很常见,至今仍未绝迹。如果将 ID 设置为 ; DROP table users ,后果将不堪设想。解决方法是使用预编译语句、验证输入,还可以选择使用像 JPA 这样的 API,它们能无缝地完成这些操作。
当没有直接的怀疑对象时,需要先验证有问题的字符不会通过。要确保到达数据库层的每个变量都经过验证方法。例如,有一个验证方法如下:
public void validate(String value) {
if(isSQLInjection(value) || isLogInjection(value) || isCSS(value)) {
throw new InvalidValue(value);
}
}
还需要验证进入数据库的每个变量要么是可信的,要么经过了验证方法。可
订阅专栏 解锁全文
扫一扫
1253
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
