從廣州網(wǎng)站建設(shè)開始,就要做好這些安全措施����。如果你的網(wǎng)站做到了以下幾點��,那就相對安全了�����。如題��,網(wǎng)站常見漏洞有20種�����,防范方法�。
1、越權(quán)
問題描述:不同權(quán)限的賬戶之間存在未授權(quán)訪問���。
修改建議:加強用戶權(quán)限驗證�。
注意:
經(jīng)常通過不同權(quán)限的用戶之間的鏈接訪問���,cookie�,修改id等����。
2.明文傳輸
問題描述:系統(tǒng)用戶密碼保護不足。攻擊者可以使用攻擊工具從網(wǎng)絡(luò)中竊取合法的用戶密碼數(shù)據(jù)����。
修改建議:傳輸?shù)拿艽a必須加密。
注意:所有密碼都應(yīng)該加密��。需要復雜的加密�。不要使用base64或md5����。
3.sql注入
問題描述:攻擊者可以通過利用sql注入漏洞獲取數(shù)據(jù)庫中的各種信息���,如管理后臺的密碼��,從而擺脫數(shù)據(jù)庫中的內(nèi)容(去數(shù)據(jù)庫)����。
修改建議:過濾并驗證輸入?yún)?shù)�。采用黑白名單。
注意:過濾和驗證應(yīng)覆蓋系統(tǒng)中的所有參數(shù)�。
4.跨站點腳本攻擊
問題描述:輸入信息未經(jīng)驗證,攻擊者可以通過巧妙的方法向網(wǎng)頁注入惡意的指令代碼��。這段代碼通常是JavaScript�,但其實也可以包括Java、VBScript����、ActiveX、Flash或者普通HTML����。攻擊成功后,攻擊者可以獲得更高的權(quán)限����。
修改建議:過濾并驗證用戶輸入。HTML實體編碼的輸出��。
注意:過濾�����、驗證�、HTML實體編碼。覆蓋所有參數(shù)���。
5.文件上傳漏洞
問題描述:文件上傳沒有限制���,可以和可執(zhí)行文件或者腳本文件一起上傳。進一步導致服務(wù)器的崩潰��。
修改建議:嚴格驗證上傳文件�����,防止上傳asp��、aspx、asa�����、php���、jsp等危險腳本���。同事要加入表頭驗證,防止用戶上傳非法文件���。
6.背景地址泄露
問題描述:后臺地址太簡單����,為攻擊者攻擊后臺提供了方便��。
修改建議:修改后臺地址鏈接�,比較復雜。
7.敏感信息被泄露
問題描述:系統(tǒng)暴露內(nèi)部信息���,如網(wǎng)站絕對路徑����、網(wǎng)頁源代碼、SQL語句��、中間件版本��、程序異常等�。
修改建議:過濾用戶輸入的異常字符�。屏蔽一些錯誤回聲,如自定義404��、403��、500等�。
8.命令執(zhí)行漏洞
問題描述:腳本程序調(diào)用php的system,exec�,shell_exec等。
修改建議:打補丁要嚴格限制系統(tǒng)中要執(zhí)行的命令�。
9.目錄遍歷漏洞
問題描述:公開目錄信息,如開發(fā)語言和站點結(jié)構(gòu)修改建議:修改相關(guān)配置���。
10.會話重放攻擊
問題描述:數(shù)據(jù)包重復提交���。
修改建議:添加令牌認證。此圖片的時間戳或驗證碼����。
11.CSRF(跨站點請求偽造)
問題描述:利用登錄用戶在不知情的情況下執(zhí)行某些操作的攻擊�。
修改建議:添加令牌認證��。此圖片的時間戳或驗證碼���。
12.任意文件包含和任意文件下載
問題描述:任何文件包含�����,系統(tǒng)沒有合理檢查傳入文件名�����,從而操作意外文件���。下載任何文件。系統(tǒng)提供下載功能�����,但不限制下載文件名�����。
修改建議:限制用戶提交的文件名。防止惡意文件讀取和下載�。
13.設(shè)計缺陷/邏輯錯誤
問題描述:程序通過邏輯實現(xiàn)豐富的功能。很多時候邏輯功能有缺陷�。比如程序員的安全意識,考慮不周等等�。
修改建議:加強程序設(shè)計和邏輯判斷。
14.XML實體注入
問題描述:當允許引用外部實體時���,惡意內(nèi)容會導致讀取任意文件、執(zhí)行系統(tǒng)命令����、檢測intranet端口等等。
修改建議:使用開發(fā)語言提供的禁用外部實體的方法過濾用戶提交的XML數(shù)據(jù)���。
15.檢測有風險的無關(guān)服務(wù)和端口
問題描述:檢測有風險的無關(guān)服務(wù)和端口���,為攻擊者提供便利。
修改建議:關(guān)閉無用的服務(wù)和端口�。前期只會打開80和數(shù)據(jù)庫端口,使用時會打開20或21個端口���。
16.登錄功能驗證碼的漏洞
問題描述:一個有效的數(shù)據(jù)包被反復惡意重復發(fā)送到服務(wù)器�����。服務(wù)器沒有有效限制用戶提交的數(shù)據(jù)包�。
修改建議:服務(wù)器后端刷新驗證碼,數(shù)據(jù)包一提交就刷新數(shù)據(jù)號����。
17.不安全的餅干
問題描述:cookies包含用戶名或密碼等敏感信息。
修改建議:從cookies中刪除用戶名和密碼�����。
18����、SSL3.0
問題描述:SSL是一種為網(wǎng)絡(luò)通信提供安全性和數(shù)據(jù)完整性的安全協(xié)議。SSl會爆一些漏洞���。例如心臟滲血����。
修改建議:升級OpenSSL版本
19.SSRF脆弱性
問題描述:服務(wù)器請求是偽造的�。
修改建議:修補或卸載無用的軟件包
20.默認密碼和弱密碼
問題描述:因為默認密碼和弱密碼很容易猜到���。
修改建議:加強密碼強度不適用于弱密碼
注意:不要在密碼中使用常用詞。例如root123456���,admin1234����,qwer1234����,p@ssw0rd等。
18665606093
