Ranko,
mohol by sa prosim nejaky bezpecnostny specialista podelit o kroky
PROGRAMATORA pre bezpecnu java web aplikacie?
Uvediem svoje (aplikacia je klasicky java-web, jsp, servlet, EE ziadne,
mozno neskor, Struts):
0. Prihlasovanie odosielane cez POST-metodu :-)
1. SSL sifrovana komunikacia (to ale asi nie je programtorova starost...)
2. Osetrenie formularovych vstupov
- pre SQL (ak mam v programe kazdy parameter osetreny apostrofmi:String
dotaz = "SELECT * FROM nieco WHERE id='" + id "', staci vlastne len
nepovolit vo formularovom vstupe jediny znak: apostrof?)
- treba pre nieco ine osetrovat formularove vstupy, ktore sluzia len
databaze?
3. Kazda stranka (okrem prihlasovacej) na zaciatku testuje ci existuje
session s id uzivatela, teda iba uz prihlaseny mozu pristupovat
4. Testovanie vsade, kde sa neocakvaju GET parametre, ci je metoda POST
5. Osetrovanie parametrov, napr. ak ocakavam jediny, nieco ako if ( (
request.getParameterMap().size!=1) spolu s testovanim presneho mena a
hodnoty
oplati sa este nieco??
