代码之家  ›  专栏  ›  技术社区  ›  Pawan

Java EE:防止应用程序URL黑客攻击

web web-applications jakarta-ee security java
  •  0
  • Pawan  · 技术社区  · 12 年前

    我正在开发一个现有的基于Web的应用程序。

    现在,我需要保护应用程序免受我认为的url黑客攻击。例如,如果customerId为1的客户登录并查看其配置文件,则以下http-get变量将在地址字段中可见:customerId=1。 我需要阻止一个客户将customerId设置为2并查看另一个客户的配置文件。

    问题是,该应用程序已经在生产中,并且处于良好的工作状态,因此相对于此更改,更改应该是最小的。

    如何最好地实现这一点?

    有什么建议/意见吗?

    2 回复  |  直到 12 年前
        1
  •  3
  •   Korgen    12 年前

    为什么只允许用户更改其个人资料,却在URL中提供id?我认为没有必要这样做。相反,从SecurityConext获取当前用户,并在没有id的URL上显示其配置文件。

    根据你在评论中提供的新信息,我建议如下:

    只需检查URL中给定的orderid是否属于当前用户。 您说您使用的是“普通的基于web的应用程序”,所以我假设是基于Servlet/jsp的。在servlet中,您可以执行以下操作: 

    int orderId = Integer.parseInt(request.getParameter("orderId"));
String username = request.getUserPrincipal().getName();
/*now you need to check if username match with the username of the order e.g. by using hibernate to get the order by id and check its user and if not throw PermissionDeniedException or similiar*/
        2
  •  0
  •   Germann Arlington    12 年前

    95%的人同意Korgen的上述回答。 5%-如果您想允许管理员访问以使用相同的功能编辑用户配置文件,只需切换到UUID即可识别编辑的用户。

    推荐文章
    Blunti  ·  Java Servlet在调用请求时运行到无限循环中。getRequestDispatcher
    7 年前
    pooja  ·  如何读取HttpResponse的响应。java中过滤器中的sendredirect(“url”)方法?
    7 年前
    jaletechs  ·  作业或任务调度
    7 年前
    Bashir Neural  ·  无法获取数据源[java:应用程序/项目名称]
    7 年前
    Anirban  ·  关闭连接的正确方式
    7 年前
    user9497598  ·  wildfly 10多个实例(偏移量),但有一个侦听器端口[关闭]
    7 年前
    Kamikazzze  ·  CDI日志侦听器在@PostConstruct中不工作
    7 年前
    hudrogen  ·  如何使用WildFly管理在WildFly中创建环境变量?
    7 年前
    Chris  ·  确定javax中的JNDI可移植名称。企业注射spi。扩大
    7 年前
    aerojas  ·  设计模式:Java EE Web方法必须遵循一系列内部方法,但如何实现呢?
    7 年前
    关于  
    代码之家 - 一站式码农服务社区
    沪ICP备11025650号