国产资源在线播放|不卡无码精品在线观看|欧美在线中文字幕高清的|国产精品一区二区中文字幕|亚洲国产精品网站在线播放|久久久久无码专区亚洲AV|久久久久久久99精品国产片|香蕉视频老熟妇乱子伦精品视频

    
    
    常見問題 Eskying Serve 提供網(wǎng)站策劃、建設(shè)、空間域名、備案服務及技術(shù)支持一站式服務 , 2009年至今已成功服務1200余家客戶, 我們堅持與客戶員工一起成長
    -宜心服務 -常見問題 -系統(tǒng)幫助 -支付方式 -客戶答疑 -宜天學堂
    網(wǎng)站建設(shè)中常見的20個安全漏洞及預防方法(一)
    2020-09-26 09:10:38  2071

    1.越權(quán)

    問題描述:不同權(quán)限賬戶之間存在越權(quán)訪問。

    修改建議:加強用戶權(quán)限的驗證。

    注意: 往往通過不同權(quán)限用戶之間鏈接訪問、cookie、修改id等

    2.明文傳輸

    問題描述:對系統(tǒng)用戶口令保護不足,攻擊者可以利用攻擊工具,從網(wǎng)絡(luò)上竊取合法的用戶口令數(shù)據(jù)。

    修改建議:傳輸?shù)拿艽a必須加密。

    注意:所有密碼要加密。要復雜加密。不要用base64或md5。

    3.sql注入

    問題描述:攻擊者利用sql注入漏洞,可以獲取數(shù)據(jù)庫中的多種信息,如:管理后臺的密碼,從而脫取數(shù)據(jù)庫中的內(nèi)容(脫庫)。

    修改建議:對輸入?yún)?shù)進行過濾、校驗。采用黑白名單方式。

    注意:過濾、校驗要覆蓋系統(tǒng)內(nèi)所有的參數(shù)。

    4.跨站腳本攻擊

    問題描述:對輸入信息沒有進行校驗,攻擊者可以通過巧妙的方法注入惡意指令代碼到網(wǎng)頁。這種代碼通常是JavaScript,但實際上,也可以包括Java、VBScript、ActiveX、Flash 或者普通的HTML。攻擊成功之后,攻擊者可以拿到更高的權(quán)限。

    修改建議:對用戶輸入進行過濾、校驗。輸出進行HTML實體編碼。

    注意:過濾、校驗、HTML實體編碼。要覆蓋所有參數(shù)。

    5.文件上傳漏洞

    問題描述:沒有對文件上傳限制, 可能會被上傳可執(zhí)行文件,或腳本文件。進一步導致服務器淪陷。

    修改建議:嚴格驗證上傳文件,防止上傳asp、aspx、asa、php、jsp等危險腳本。同事zui好加入文件頭驗證,防止用戶上傳非法文件。

    6.后臺地址泄露

    問題描述:后臺地址過于簡單,為攻擊者攻擊后臺提供了便利。

    修改建議:修改后臺地址鏈接,復雜點。

    7.敏感信息泄露

    問題描述:系統(tǒng)暴露內(nèi)部信息,如:網(wǎng)站的絕對路徑、網(wǎng)頁源代碼、SQL語句、中間件版本、程序異常等信息。

    修改建議:對用戶輸入的異常字符過濾。屏蔽一些錯誤回顯,如自定義404、403、500等。

    8.命令執(zhí)行漏洞

    問題描述:腳本程序調(diào)用如php 的 system、exec、shell_exec等。

    修改建議:打補丁,對系統(tǒng)內(nèi)需要執(zhí)行的命令要嚴格限制。

    9.目錄遍歷漏洞

    問題描述:暴露目錄信息,如開發(fā)語言、站點結(jié)構(gòu)

    修改建議:修改相關(guān)配置。

    10.會話重放攻擊

    問題描述:重復提交數(shù)據(jù)包。

    修改建議:添加token驗證。時間戳或這圖片驗證碼。

    相關(guān)資訊
    咨詢

    0931-4109028
    7*24小時客服服務熱線

    關(guān)注官方微信