程序猿之洞

引言最近由于在优快云上看到许多有关SQL注入问题的文章，以前因为是小白，重在学编程技术上，并没有在程序安全防护上大费周章。但是由于学习的路途越走越远，包括前段时间理工大教务处主页被黑(我同学也在网络工作室负责维护)，让我深深的感受到，在Web应用上线之后，除了应付“高并发”之类的效率性问题之外，安全性问题也是非常重要的。俗话说的好，“不防君子防小人”，有些了解技术的“小人”们，可能处于娱乐或

在企业级的应用开发中，避免不了对信息进行加密和解密。那么，在使用Java开发应用的时候，我们使用什么手段对信息进行加密和解密呢？接下来介绍常见的四种单向加密技术。这四项技术分别为：(1)BASE64 其实不是加密算法，是一种编码格式(2)MD5(Message Digest algorithm5，信息摘要算法)(3)SHA(Secure Hash Algorithm，安全散

一、Sql注入描述：通过不可信来源的输入构建动态SQL指令，攻击者就能够修改指令的含义或者执行任意SQL命令。举例：Sql注入错误会在以下情况发生1.数据从一个不可信赖的数据源进入程序。2.数据用于动态地构造一个SQL语句使用Java的MyBatis/iBatis框架可以指定SQL指令中的动态参数，通常使用#字符来定义它们，如： SELECT * F

一、日志伪造(Log Forging)描述：将未经验证的用户输入写入日志文件可致使攻击者伪造日志条目或将恶意信息内容注入日志。举例：在以下情况或发生“日志伪造”的漏洞：1.数据从一个不可信的数据源进入应用程序2.数据写入到应用程序或系统日志文件中为了便于以后的审阅、统计数据或调试，应用程序通常使用日志文件来存储事务的历史记录。根据应用程序自身的特性，审阅日志

一、路径操纵描述：通过用户输入控制file System操作所用的路径，借此攻击者可以访问或修改其他受保护的系统资源。举例：当满足以下两个条件时，就会产生“路径操纵”错误：1.攻击者能够指定某一file system操作中所使用的路径。2.攻击者可以通过指定特定资源来获取某种权限，而这种权限在一般情况下是不可能获得的。例如，在某一程序中，攻击者可以获得指定的权限

一、不安全的自动完成描述借助表单的自动完成功能，某些浏览器可以在历史记录中保留敏感信息。 举例启用自动完成功能后，某些浏览器会保留会话中的用户输入，以便随后使用该计算机的用户查看之前提交的信息。 解决方案对于表单或敏感输入，显式禁用自动完成功能。通过禁用自动完成功能，之前输入的信息不会在用户输入时以明文形 式显示。这也会禁用大多数主要浏览器的“记住密码”功能。