我在運行於JBoss上的RF3.3上有一個基於JSF2.0的Web應用程序。 我非常關心Web應用程序的安全性。啓用HTTPS後對JSF應用程序的安全威脅/攻擊
雖然從外部世界到我的Web應用程序的通信將使用HTTPS,但在爲我的Web應用程序啓用HTTPS後仍然不知道還有哪些其他安全攻擊是可能的。
至少,網絡應用程序存在一系列安全攻擊,但我的重點是OWASP十大安全攻擊。
JSF自動處理XSS和CSRF攻擊(我也使用ESAPI jar來避免CSRF攻擊),並且我已經處理了SQL注入攻擊。
即使在啓用https後,我仍然覺得對web應用程序會有太多衆所周知的和潛在的威脅/攻擊。
我想通知的另一件事: - 客戶將通過HTTPS訪問應用程序。但是我的應用程序會向另一個內部Web應用程序提出某種請求,並且此通信是HTTP。所以會有協議從HTTPS到HTTP的變化,但由於這種變化是在內部網上,我認爲它不會有太大的影響。
請指導我。
如果HTTP連接純粹是通過本地網絡服務器端,那麼這應該是安全的假設本地網絡是值得信賴的。根據數據的不同,您可能希望通過使用專用連接來鎖定,而不是與其他用戶共享本地網絡(如果是這種情況)。 – SilverlightFox 2012-03-03 13:52:18
如果你建立你的應用程序是安全的(也就是說,如果你在需要的地方適當的輸入和輸出消毒),那麼我不明白爲什麼這個網站不應該去住。如果你沒有做到這一點,這是一個不同的問題。 – 2012-03-04 17:44:40
@SilverlightFox也許你已經幾乎回答我question.I我使用HTTP和HTTPS..Since HTTP連接純粹是由我主持另一個Web應用程序之間切換的專用連接,所以我肯定本地網絡的安全性。 – AngelsandDemons 2012-03-06 11:18:03