Security Struts2(Java EE)项目中的安全问题
我正在使用Struts-2框架用java创建一个web门户。Java EE web门户中可能存在哪些漏洞,以及如何防止我的门户受到这些漏洞的攻击。相关链接将不胜感激。首先,请熟悉十大web攻击: 然后定期检查框架的已发布漏洞:Security Struts2(Java EE)项目中的安全问题,security,jakarta-ee,struts2,struts,Security,Jakarta Ee,Struts2,Struts,我正在使用Struts-2框架用java创建一个web门户。Java EE web门户中可能存在哪些漏洞,以及如何防止我的门户受到这些漏洞的攻击。相关链接将不胜感激。首先,请熟悉十大web攻击: 然后定期检查框架的已发布漏洞: 在某些情况下,有一些工具可以自动完成部分工作。主要有两个方面: 使您的struts框架保持最新。总是检查。这是必须的,当您使用框架时,框架中的安全漏洞意味着应用程序中的安全漏洞 如中所述,开发您自己的安全站点 以下是一些提示: 如果在JSP中使用 ${} /代码>,请
在某些情况下,有一些工具可以自动完成部分工作。主要有两个方面:
s:property
真的
真的
曲奇
会话固定
和csrf
,而无需编写任何代码CSRF、XSS与任何其他框架一样。确保使用最新版本,并在新版本发布时快速升级(由于安全问题)。还要注意,J2EE是Java1.4;由于Java 1.5是Java EE,您能告诉我哪些工具可以实现自动化吗?您可以从web漏洞扫描器开始,例如,它可以集成到您的构建过程中。
<session-config>
<cookie-config>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
<!--This will prevent jsession url re-writing -->
<tracking-mode>COOKIE</tracking-mode>
</session-config>