【发布时间】:2012-03-21 16:03:35
【问题描述】:
我在 JBoss 上运行的 RF3.3 上有一个基于 JSF2.0 的 Web 应用程序。 我非常关心网络应用程序的安全性。
虽然从外部世界与我的 Web 应用程序的通信将使用 HTTPS,但在为我的 Web 应用程序启用 HTTPS 后,我仍然不知道还有哪些其他安全攻击可能。
至少,Web 应用程序存在一系列安全攻击,但我的重点是 OWASP 十大安全攻击。
JSF 自动处理 XSS 和 CSRF 攻击(我也使用 ESAPI jar 来避免 CSRF 攻击)并且我已经处理了 SQL 注入攻击。
我觉得即使在启用 https 之后,Web 应用程序也会有太多众所周知的潜在威胁/攻击。
我想告知的另一件事:- 客户将通过 HTTPS 访问应用程序。但是我的应用程序会向另一个内部 Web 应用程序发出某种请求,并且这种通信是 HTTP。因此协议会从 HTTPS 更改为 HTTP,但由于此更改是在 Intranet 上,我认为不会有太大影响。
请指导我。
【问题讨论】:
-
如果 HTTP 连接纯粹是本地网络上的服务器端,那么假设本地网络是可信任的,这应该是安全的。但是,根据数据是什么,您可能希望通过使用专用连接而不是与其他用户共享本地网络(如果是这种情况)来锁定它。
-
如果您构建的应用程序是安全的(也就是说,如果您在需要的地方进行了适当的输入和输出清理),那么我不明白为什么这个网站不应该上线。如果你没有做到这一点,这是一个不同的问题。
-
@SilverlightFox 也许您几乎已经回答了我的问题。我正在使用专用连接在 HTTP 和 HTTPS 之间切换。由于 HTTP 连接纯粹是到我托管的另一个 Web 应用程序,所以我确信本地网络的安全性。
标签: security jsf web-applications jsf-2