一、使用 HTTP 動詞篡改的認證旁路
禁用http下不安全的方法(web.xml添加代碼)
<!-- 禁用不必要HTTP方法 -->
<security-constraint>
<web-resource-collection>
<url-pattern>/*</url-pattern>
<http-method>PUT</http-method>
<http-method>DELETE</http-method>
<http-method>HEAD</http-method>
<http-method>OPTIONS</http-method>
<http-method>TRACE</http-method>
</web-resource-collection>
<auth-constraint></auth-constraint>
</security-constraint>
二、基於DOM的跨站點腳本編制
描述:請求參數中包含alert,而在js代碼中獲取值是則會自動彈出提示信息
JSP頁面獲取參數後做編碼轉換,如:
org.springframework.web.util.HtmlUtils.htmlEscape
三、SQL 盲注
代碼中,sql拼接形式是否是用?傳參控制,如果是直接拼接參數形式請調整代碼,如下傳參形式參考:
四、自動填寫未對密碼字段禁用的 HTML 屬性
密碼框添加autocomplete="off"屬性
五、HTML 註釋敏感信息泄露
把程序中的註釋代碼刪除,程序中的註釋代碼,在編譯時候是直接按原註釋代碼信息註釋形式呈現,用戶查看網頁源碼是會暴漏一些源程序信息