如何保护个人金融web应用的安全？

Question

我想做一个个人金融网络应用程序，并以这种方式托管它，这样我就可以从任何地方访问它。我想让它有一个登录页面的安全。开发web应用程序，我想让它成为我自己的学习体验。我想使用Spring框架并在Tomcat上运行web应用程序。

我对保护web应用程序不是很熟悉。根据我所做的研究，我认为我需要使用Spring Security模块。在我看来，我也需要使用SSL/HTTPS。我还想以这样一种方式创建它，这样就可以有超过1个用户，所以我假设我需要有一个包含用户名和加密密码的DB表。

正如你所看到的，我对这些东西很困惑。我可以得到一些关于我可以查看哪些资源的指导吗？给保安新手的东西。

Answer 1

有很多。这是不可能的安全你的网络应用程序100%。如果你用5种方式阻止黑客入侵，他们可能会尝试第6种方式。

看看SQL注入，如何正确地验证表单字段，以及您希望在屏幕上显示的错误消息。由于您有一个数据库来存储用户的登录详细信息，因此您应该使用像md5散列这样的散列算法来使用密钥加密您的密码。这样黑客就不会拿到你的密码了。另请看一下XSS以及如何防止它。从您的托管服务购买SSL证书并启用它。

我希望这对你有帮助！