1.1、SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 ejavshop在代码层面做了严格的控制,比如对输入参数进行杀毒、MyBatis采用“#”方式传递参数,而不是“$”等方式。
1.2、XSS是允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本,防范的措施是:
(1)所有用户提交内容进行可靠的输入验证;
(2)实现Session标记(session tokens)、CAPTCHA系统或者HTTP引用头检查,以防功能被第三方网站所执行;
(3)确认接收的的内容被妥善的规范化,仅包含最小的、安全的Tag(没有javascript),去掉任何对远程内容的引用(尤其是样式表和javascript),使用HTTP only的cookie。
1.3、CSRF(Cross-site request forgery),中文名称:跨站请求伪造,是攻击者盗用了你的身份,以你的名义发送恶意请求。 易写科技商城系统主要采用避免的方式是:客户端页面增加伪随机数。
2.1、基于RBAC的权限控制,可以实现最细粒度、最灵活的权限控制策略; 2.2、使用Servlet、SpringMVC过滤器技术进行拦截、跟踪,实现松耦合逻辑访问控制; 2.3、集中收集系统日志功能,实时监控。
3.1、用户密码、支付密码等敏感数据采用“MD5+随机码”生成; 3.2、数据库采用读写分离,读没有写的权限; 3.3、数据库实现主从复制,图片服务器实现远程备份,保证系统中没有单点。
4.1、每个站点的运行账号都是一个Guest组账号。这个账号只拥有此站点目录的文件访问权限,对其他目录均没有权限; 4.2、漏洞扫描、漏洞跟进、漏洞修复; 4.3、杀毒软件病毒库实时更新等。
1、防火墙:解决供应商用户从互联网接入系统外网边界的安全问题; 2、SSL VPN:通过链路加密解决供应商用户从互联网接入系统外网网络络链路传输的安全问题; 3、应用虚拟化平台:解决供应商用户从互联网接入系统外网,并从外网访问集团内网时,阻止系统内网数据不能达到供应商终端上安全泄露问题; 4、网闸:解决供应商用户从系统内网与外网数据的安全交换问题。