从事java web开发也有几年了,可是开发中的安全问题却越来越不以为然。直到不久遇到一黑软,瞬间sql注入,少时攻破网站数据库。还好,我还没有用root级的用户连接数据库。不过也没有什么用了,因为我的懈怠用户表的帐号密码没有加密。对方可以很容易的进入网站后台为所欲为了。更让我郁闷的是文件上传我没做类型限制,唉,不用说了上传一个webshell文件。可怜的服务器成了赤裸羔羊。回过头来痛定思痛,决定重新规范web开发的安全标准,总结如下。
1.绝对绝对绝对要采用预处理的方式来进行sql操作,如果实在需要做sql语句的拼接,那么请做输入信息的过滤。selet,update,delete,insert,and,%,',_,这些都屏蔽了吧。
2.一般的sql注入都是从网站的前台网页寻找漏洞,建议针对前台操作和后台操作分别建立数据库操作用户。前台的用户只赋予实际需要的基本权限。后台用户可权限可以宽松些但也只能针对当前库。切不可用root级别的用户作数据库连接。否则数据丢了,你都没地方哭去。
3.用户登录表的密码一定要加密,如果可以也可将用户名一并加密。这是以防万一的最后手段,当对方看你的用户登录表的时候起码看到也不知道是什么。
4.jsp文件集中放到指定的文件夹下,如果你使用struts那么你可以将struts使用的文件放在WEB-INF目录下的某个文件夹中,因为该WEB-INF文件夹网站浏览用户是看不到的。
5.文件上传一定要做类型检查,一些jsp,php,asp等程序文件坚决不能让其上传。如果你用的是linux 下apache+tomcat 做的jk连接,你可以将文件直接上传到apache目录,或者用ln作软连接,万一对方上传了jsp文件你没判断出来,那么也是传到了apache目录下,你在jk指向中
将jsp文件指定到tomcat中某一文件夹,对方在浏览器中是无法访问上传的jsp文件的。
6.日志,建议增加服务的访问日志,记录来访者的IP,传递参数,对后台操作用户建立日志,记录其操作内容。完善的日志记录可以帮助你发现潜在的危险,找到已经发生的问题。
临时想到这么多,写的很粗糙以后再慢慢补充完善。最后忠告我的程序员朋友,做人要低调,做事要踏实,这年头随便一个网民登陆个黑客软件就没准吧你黑了。当你发现黑你网站的那个人不过是个业余网民,相信你一定有被小baby暗算,恨不能找块豆腐撞死的感觉。算了不说了,总之低级问题总会出在懈怠的时候,所以精神点。