從廣州網(wǎng)站建設(shè)開始�����,就要做好這些安全措施��。如果你的網(wǎng)站做到了以下幾點�,那就相對安全了。如題�,網(wǎng)站常見漏洞有20種�,防范方法�����。
1���、越權(quán)
問題描述:不同權(quán)限的賬戶之間存在未授權(quán)訪問���。
修改建議:加強用戶權(quán)限驗證���。
注意:
經(jīng)常通過不同權(quán)限的用戶之間的鏈接訪問,cookie�����,修改id等��。
2.明文傳輸
問題描述:系統(tǒng)用戶密碼保護不足��。攻擊者可以使用攻擊工具從網(wǎng)絡(luò)中竊取合法的用戶密碼數(shù)據(jù)。
修改建議:傳輸?shù)拿艽a必須加密����。
注意:所有密碼都應(yīng)該加密���。需要復(fù)雜的加密。不要使用base64或md5��。
3.sql注入
問題描述:攻擊者可以通過利用sql注入漏洞獲取數(shù)據(jù)庫中的各種信息�,如管理后臺的密碼����,從而擺脫數(shù)據(jù)庫中的內(nèi)容(去數(shù)據(jù)庫)。
修改建議:過濾并驗證輸入?yún)?shù)�。采用黑白名單。
注意:過濾和驗證應(yīng)覆蓋系統(tǒng)中的所有參數(shù)�。
4.跨站點腳本攻擊
問題描述:輸入信息未經(jīng)驗證����,攻擊者可以通過巧妙的方法向網(wǎng)頁注入惡意的指令代碼。這段代碼通常是JavaScript��,但其實也可以包括Java�、VBScript�����、ActiveX�����、Flash或者普通HTML��。攻擊成功后���,攻擊者可以獲得更高的權(quán)限�。
修改建議:過濾并驗證用戶輸入���。HTML實體編碼的輸出�����。
注意:過濾�����、驗證��、HTML實體編碼�。覆蓋所有參數(shù)。
5.文件上傳漏洞
問題描述:文件上傳沒有限制���,可以和可執(zhí)行文件或者腳本文件一起上傳。進一步導(dǎo)致服務(wù)器的崩潰���。
修改建議:嚴格驗證上傳文件���,防止上傳asp、aspx、asa、php�����、jsp等危險腳本�。同事要加入表頭驗證,防止用戶上傳非法文件�����。
6.背景地址泄露
問題描述:后臺地址太簡單,為攻擊者攻擊后臺提供了方便�。
修改建議:修改后臺地址鏈接,比較復(fù)雜�。
7.敏感信息被泄露
問題描述:系統(tǒng)暴露內(nèi)部信息���,如網(wǎng)站絕對路徑、網(wǎng)頁源代碼�、SQL語句���、中間件版本����、程序異常等。
修改建議:過濾用戶輸入的異常字符���。屏蔽一些錯誤回聲,如自定義404�����、403�����、500等。
8.命令執(zhí)行漏洞
問題描述:腳本程序調(diào)用php的system����,exec��,shell_exec等�。
修改建議:打補丁要嚴格限制系統(tǒng)中要執(zhí)行的命令�����。
9.目錄遍歷漏洞
問題描述:公開目錄信息��,如開發(fā)語言和站點結(jié)構(gòu)修改建議:修改相關(guān)配置���。
10.會話重放攻擊
問題描述:數(shù)據(jù)包重復(fù)提交。
修改建議:添加令牌認證��。此圖片的時間戳或驗證碼����。
11.CSRF(跨站點請求偽造)
問題描述:利用登錄用戶在不知情的情況下執(zhí)行某些操作的攻擊����。
修改建議:添加令牌認證�。此圖片的時間戳或驗證碼�。
12.任意文件包含和任意文件下載
問題描述:任何文件包含,系統(tǒng)沒有合理檢查傳入文件名���,從而操作意外文件�����。下載任何文件��。系統(tǒng)提供下載功能,但不限制下載文件名���。
修改建議:限制用戶提交的文件名����。防止惡意文件讀取和下載。
13.設(shè)計缺陷/邏輯錯誤
問題描述:程序通過邏輯實現(xiàn)豐富的功能��。很多時候邏輯功能有缺陷。比如程序員的安全意識���,考慮不周等等��。
修改建議:加強程序設(shè)計和邏輯判斷����。
14.XML實體注入
問題描述:當允許引用外部實體時�����,惡意內(nèi)容會導(dǎo)致讀取任意文件��、執(zhí)行系統(tǒng)命令�����、檢測intranet端口等等��。
修改建議:使用開發(fā)語言提供的禁用外部實體的方法過濾用戶提交的XML數(shù)據(jù)��。
15.檢測有風(fēng)險的無關(guān)服務(wù)和端口
問題描述:檢測有風(fēng)險的無關(guān)服務(wù)和端口�,為攻擊者提供便利。
修改建議:關(guān)閉無用的服務(wù)和端口���。前期只會打開80和數(shù)據(jù)庫端口��,使用時會打開20或21個端口���。
16.登錄功能驗證碼的漏洞
問題描述:一個有效的數(shù)據(jù)包被反復(fù)惡意重復(fù)發(fā)送到服務(wù)器�。服務(wù)器沒有有效限制用戶提交的數(shù)據(jù)包。
修改建議:服務(wù)器后端刷新驗證碼�,數(shù)據(jù)包一提交就刷新數(shù)據(jù)號��。
17.不安全的餅干
問題描述:cookies包含用戶名或密碼等敏感信息����。
修改建議:從cookies中刪除用戶名和密碼�����。
18、SSL3.0
問題描述:SSL是一種為網(wǎng)絡(luò)通信提供安全性和數(shù)據(jù)完整性的安全協(xié)議�����。SSl會爆一些漏洞����。例如心臟滲血��。
修改建議:升級OpenSSL版本
19.SSRF脆弱性
問題描述:服務(wù)器請求是偽造的�����。
修改建議:修補或卸載無用的軟件包
20.默認密碼和弱密碼
問題描述:因為默認密碼和弱密碼很容易猜到���。
修改建議:加強密碼強度不適用于弱密碼
注意:不要在密碼中使用常用詞。例如root123456���,admin1234,qwer1234�,p@ssw0rd等�����。
020-39991468
