Web常用攻击手段-其他漏洞 Web常用攻击手段-其他漏洞

上一篇 << 下一篇 >>>安全技术--数据加密/认证技术
隐藏域问题

A页面提交数据到B页面后作为隐藏域一并提交
(B页面若无逻辑判断，攻击者很容易在B页面修改数据后一并提交)

HTML注释问题

使用html的注释会增加攻击者的阅读性及带宽量，应该改为jsp的注释，在编译的时候会自动删除掉。

文章图片

异常信息直接展示

很多人喜欢在给客户端报错的时候，会很明确的告知哪个字段，甚至是哪个表。这无疑暴露了服务端的信息，会存在很大的安全隐患，应该把错误码异常等进行封装。

业务ID连续性

http://127.0.0.1/user/detail?userId=1232这种带有ID信息的，很容易让攻击者去扫描获取更多的信息，底层应该做好权限的判断。

如何防止DDOS攻击请求

思想：对我们接口实现API的限流
a、可以使用nginx防御DDOS攻击，对用户的频率实现限制
b、基于网关整合服务保护框架 Hystrix、Sentinel
c、基于网关实现黑名单和白名单拦截
d、多次请求必须要经过图形验证码识别才可以访问接口

【Web常用攻击手段-其他漏洞】相关文章链接：
<< << << << << << <<<安全技术--数据加密/认证技术
<<<安全技术--Https相关知识
<<<安全技术--接口幂等性设计
<<<安全框架--SpringSecurity
<<<安全框架--JWT
<<<安全框架--OAuth2
<<<安全架构整体设计方案