Безопасность в приложении Java EE с JBoss

Question

Каковы основные и очевидные соображения и рекомендации по безопасности в веб-приложении Java EE?

Answer 1

• Использовать HTTPS
• Используйте Jasypt , чтобы упростить некоторые вещи.
• Ограничить внешнюю точку доступа.
• Убедитесь, что у вас нет ни одной точки отказа.
• Убедитесь, что каналы связи должным образом защищены при необходимости.
• Безопасный доступ к компонентам с помощью белого списка (предоставьте доступ вместо удаления доступа).
• Убедитесь, что состояние сохраняется на стороне сервера.
• Тестовый тест Тестовый тест ...
• Будьте в курсе недостатков безопасности .
• Все остальное - хороший дизайн.

Answer 2

Не доверяйте ничему, что не находится под вашим контролем. Основным, наиболее важным аспектом этого является: Не верьте, что входные данные для ваших обработчиков POST / GET будут поступать из форм, которые вы разрабатываете.

Проверьте все входные данные клиента, особенно перед его использованием для взаимодействия с SQL, HQL, другими внешними источниками данных или командной строкой.