安全编程

安全3要素：
confidentiality-机密性
internity-完整性
availability-可用性

认证
授权
不可依赖性

安全原则：
最小权限原则
纵深防御原则
责权分离原则
不可预测性原则

标准：
OWASP：
tika
出错处理
信息泄露

LOG4J

事例：
1.注入：服务器解释器（SQL:获取数据,XML：篡改数据，LDAP:权限，HTTP响应头截断）
2.失效的身份认证和会话管理：cookie session,URL重写，
3.跨站脚本：客户端
4.不安全的直接对象引用：URL,不可预测性原则
5.安全配置错误：第三方
6.敏感信息泄漏：对HTTP明文加密
7.功能级的访问权限缺失
8.跨站请求伪装：session，令牌
9.使用有漏洞组件
10.未定义的重定向和转发：第三方支付