保护web应用程序

Question

可以采取哪些步骤来确保使用Hibernate、Spring和JSF的web应用程序是安全的？可能存在哪些漏洞，标准的安全框架是什么？

Answer 1

安全性不是仅仅通过使用框架就能解决的。它需要大量的教育、理解、创造力和风险评估，以避免犯错误。

从阅读这些URL开始

• http://www.owasp.org/index.php/Hibernate-Guidelines
• http://www.owasp.org/index.php/Java_Server_Faces
• http://www.owasp.org/index.php/OWASP_Java_Table_of_Contents

并且一定要跟上顶级漏洞的速度，等等。安全的介绍，包括“没有银弹”这篇文章。

• http://www.owasp.org/index.php/Getting_Started
• http://www.owasp.org/index.php/OWASP_Top_Ten_Project列出了

的十大安全威胁

Answer 2

Joel Coehoorn和其他几个人通过回答类似的问题here记录了一组很好的实践

• 要理解的东西很多，但OWASP开发指南从上到下涵盖了网站安全性
• 了解SQL注入和如何防止它
• 从不信任用户输入(cookies也算作用户输入！)
• 加密散列和盐密码而不是存储它们尝试想出你自己的奇特的身份验证系统:这是一件很容易出错的事情-以微妙和不可测试的方式，你甚至不会知道它，直到你被黑了
• 知道处理信用卡的规则将此问题视为用于登录和输入敏感数据(如信用卡信息)的well:
• Payment Processors - What do I need to know if I want to accept credit cards on my website?
• Use SSL/HTTPS页面
• 如何抵制会话well：
• Payment Processors - What do I need to know if I want to accept credit cards on my website?
• Use跨站点脚本(XSS)
• 避免跨站点请求伪造(XSRF)
• 使用最新的修补程序保持您的系统处于最新状态
• 确保您的数据库连接信息是最新的，请自行了解影响您的系统的最新攻击技术和漏洞
• 浏览器安全手册

< platform.

• Read >F235

Answer 3

我同意其他的回答，因为没有安全的银弹或简单的框架，你只需插入和tada，你是安全启用的。一定要查看OWASP站点，它是学习安全性的一个很好的资源。

充分了解安全性(而不是将安全性委托给框架)将最终使您的应用程序更加安全。例如，JSF可以预防大多数(如果不是全部？)默认情况下，XSS类型攻击，但您可以覆盖此功能，可能不会意识到安全隐患，并且您的JSF代码会突然暴露。

由于没有人提到它，静态代码分析可以帮助您。查看诸如Findbugs、PMD和checkstyle等内容，以获得基本和免费的代码分析。或者使用更重的功能，比如Fortify，它是专门为检测应用程序中的安全漏洞而设计的。