信息安全保障

澤元軟件提供了全面的應用層安全機制,針對操作系統、數據庫、中間件、應用系統進行安全配置并掃描。在系統底層杜絕文件越權訪問、SQL注入、跨站腳本等安全問題。

1. SQL注入檢查

檢查系統中的非ORM的數據庫操作,確保沒有SQL注入的可能。確保非ORM的SQL語句全部基于QueryBuilder機制的,QueryBuilder要求所有的SQL條件都是基于參數的,不允許直接將字符串拼接到SQL語句中。QueryBuilder是對參數化的Statement的封裝,它將傳入的參數作為字符串傳入Statement,防止傳入的參數侵入到SQL邏輯中并獲得執行,從而達到防止SQL注入的目的。

2. 跨站腳本檢查

XSS(跨站腳本攻擊Cross Site Scripting) 攻擊者提交惡意HTML代碼到服務器端,如果服務器端未經檢查即輸出到HTML頁面,則其他用戶瀏覽該頁之時,嵌入其中Web里面的HTML代碼會被執行,從而達到攻擊者的特殊目的。XSS是常見的網站安全問題。

將在本項目中實施嚴格的參數檢查機制,對XSS進行了周密的防范。任何傳遞給服務器的HTTP請求(無論是get還是post請求),請求中的參數默認只允許字母、數字、下劃線等無危害字符,不允許有單引號和雙引號等特殊字符,如果參數中有特殊字符,則系統自動攔截請求并重定向到錯誤頁面。如果頁面確實需要接受含有特殊字符的參數,則相應的后臺方法需要使用@Verify注解作特別聲明,并在方法中檢查參數是否合法或進行HTML轉義存儲。

3. 防止非法文件上傳

本項目將采用基于HTML5的上傳控件,避免使用基于Flash的上傳控件。該控件在文件上傳前檢查了文件的擴展名,只允許擴展名在指定的擴展名列表中的文件上傳到服務器。同時在服務器后臺在文件保存到磁盤之前也再次檢查了文件擴展名,只有擴展名被允許的文件才會寫入到磁盤。

系統中所有上傳的文件保存之前還會檢查文件路徑,只允許保存在指定的目錄下,該目錄一般由WEB服務器負責解析,只支持靜態的.html和.shtml文件,不支持PHP/JSP等動態頁面執行。

另外,系統被設計成可以在低級別操作系統權限下運行,系統只需要對應用目錄和發布文件所有目錄擁有讀寫權限即可正常運行。系統建議運行在非root用戶下。

通過以上措施,系統能夠很好地防止非法上傳程序到服務器,防止服務器被安裝WebShell或被掛馬。


捕鱼大师输钱怎么回本