课程咨询 :186 8716 1620      qq:2066486918

昆明Java培训 > 达内新闻 > Java的系统漏洞:关于用户登录后操作的注意事项
  • Java的系统漏洞:关于用户登录后操作的注意事项

    发布:昆明Java培训      来源:达内新闻      时间:2016-10-21

  • 昆明Java培训的老师今天给大家讲Java的系统漏洞:关于用户登录后操作的注意事项

    项目背景:

    SpringMVC + Mybatis + MySql数据库(javaWeb项目开发)

    相关模块:登录,个人详细信息修改,订单详情查询

    相关漏洞介绍:

    1.登录的验证码:登录的验证码一定要在后台做验证,如果只是前台验证验证码后,后台未验证,可能会发生第一次验证验证码后,通过工具绕过验证码进行暴力破解;

    2.拦截器:要对登录后的如个人信息操作的接口名称要使用/user或者/admin进行拦截,如用户未登录,将自动跳转至登录页面;

    3.个人详细信息修改:用户的信息要存放在session里面,如用户的id,这样进行个人信息修改的时候,如果是免密接口(即修改信息不需要密码),修改账号信息的时候,一定不要直接传用户的id来做唯一的标识,使用用户的关键性信息的时候,可以从session获取当前登录用户的信息,防止如账户为3000001的用户登录后修改账户3000002的用户的个人信息;

    4.订单详情接口:如果是查询用户的订单详情,只通过订单id进行查询的话,即使接口名加了/user,拦截了未登录的用户,也有可能发生其他用户登录后可以查询到非本人订单的详情信息。对于此种情况,一定要在查询订单详情前,验证此订单是当前登录用户的个人订单,即验证session中的id与此订单的创建人的id一致;防止信息的泄露。

    了解详情请登陆昆明达内Java培训官网(km.Java.tedu.cn)!

    推荐文章

上一篇:AOP面向切面编程的四种实现

下一篇:【昆明Java培训】Spring框架介绍

最新开班日期  |  更多

Java--零基础全日制班

Java--零基础全日制班

开班日期:12/29

Java--零基础业余班

Java--零基础业余班

开班日期:12/29

Java--周末提升班

Java--周末提升班

开班日期:12/29

Java--零基础周末班

Java--零基础周末班

开班日期:12/29

  • 网址:http://km .java.tedu.cn      地址:昆明市官渡区春城路62号证券大厦附楼6楼
  • 课程培训电话:186 8716 1620      qq:2066486918    全国服务监督电话:400-827-0010
  • 服务邮箱 ts@tedu.cn
  • 2001-2016 达内国际公司(TARENA INTERNATIONAL,INC.) 版权所有 京ICP证08000853号-56