網站在建設過程當中,由于疏忽可能會導致一些安全漏洞發生,作為一名網站建設人員應該有必要了解網站在建設過程中可能出現的安全漏洞,以及如何預防安全漏洞的發生?
明文傳輸
問題描述:對系統用戶密碼的保護不足,攻擊者可以使用攻擊工具從網絡竊取合法的用戶密碼數據。
修改建議:傳輸的密碼必須加密。
注意:所有密碼都是加密的。使加密復雜化。不要使用base64或md5。
問題描述:攻擊者使用sql注入漏洞來獲取數據庫中的各種信息,例如:管理后臺密碼,從而刪除數據庫的內容(去數據庫)。
修改建議:過濾并驗證輸入參數。使用黑白名單。
注意:過濾和驗證應覆蓋系統中的所有參數。
跨站腳本攻擊
問題描述:輸入信息未經驗證,攻擊者可以巧妙地將惡意指令代碼注入網頁。該代碼通常是JavaScript,但實際上,它也可以包括Java,VBScript,ActiveX,Flash或純HTML。攻擊成功后,攻擊者可以獲得更高的特權。
修改建議:篩選并驗證用戶輸入。輸出以HTML實體編碼。
注意:過濾,檢查HTML實體編碼。覆蓋所有參數。
文件上傳漏洞
問題描述:沒有文件上傳限制,并且可執行文件或腳本文件可能已上傳。進一步導致服務器掉線。
修改建議:嚴格驗證上傳的文件,以防止上傳危險的腳本,例如asp,aspx,asa,php,jsp等。建議同事添加文件頭驗證,以防止用戶上傳非法文件。
命令執行漏洞
問題描述:腳本程序調用如php的system、exec、shell_exec等。
修改建議:對需要在系統中執行的命令進行修補,嚴格限制。
CSRF(跨站請求偽造)問題描述:已經登錄到用戶并在不知情的情況下執行某種操作的攻擊。
修改建議:添加令牌驗證。時間戳或此圖片驗證碼。
SSRF漏洞
問題描述:服務器請求偽造。
修改建議:修補或卸載無用的軟件包
默認密碼,弱密碼
問題描述:因為默認密碼,弱密碼很容易猜到。
修改建議:加強密碼強度不適用于弱密碼
明文傳輸
問題描述:對系統用戶密碼的保護不足,攻擊者可以使用攻擊工具從網絡竊取合法的用戶密碼數據。
修改建議:傳輸的密碼必須加密。
注意:所有密碼都是加密的。使加密復雜化。不要使用base64或md5。
問題描述:攻擊者使用sql注入漏洞來獲取數據庫中的各種信息,例如:管理后臺密碼,從而刪除數據庫的內容(去數據庫)。
修改建議:過濾并驗證輸入參數。使用黑白名單。
注意:過濾和驗證應覆蓋系統中的所有參數。
跨站腳本攻擊
問題描述:輸入信息未經驗證,攻擊者可以巧妙地將惡意指令代碼注入網頁。該代碼通常是JavaScript,但實際上,它也可以包括Java,VBScript,ActiveX,Flash或純HTML。攻擊成功后,攻擊者可以獲得更高的特權。
修改建議:篩選并驗證用戶輸入。輸出以HTML實體編碼。
注意:過濾,檢查HTML實體編碼。覆蓋所有參數。
文件上傳漏洞
問題描述:沒有文件上傳限制,并且可執行文件或腳本文件可能已上傳。進一步導致服務器掉線。
修改建議:嚴格驗證上傳的文件,以防止上傳危險的腳本,例如asp,aspx,asa,php,jsp等。建議同事添加文件頭驗證,以防止用戶上傳非法文件。
命令執行漏洞
問題描述:腳本程序調用如php的system、exec、shell_exec等。
修改建議:對需要在系統中執行的命令進行修補,嚴格限制。
CSRF(跨站請求偽造)問題描述:已經登錄到用戶并在不知情的情況下執行某種操作的攻擊。
修改建議:添加令牌驗證。時間戳或此圖片驗證碼。
SSRF漏洞
問題描述:服務器請求偽造。
修改建議:修補或卸載無用的軟件包
默認密碼,弱密碼
問題描述:因為默認密碼,弱密碼很容易猜到。
修改建議:加強密碼強度不適用于弱密碼
業務咨詢
售后服務
在線咨詢
熱線電話
查看案例
業務咨詢
電話咨詢