以下都以asp.net開發**為例。
1、sql注入漏洞。
解決辦法:使用儲存過程,引數不要用字串拼接。簡單改進辦法:使用sqlhelper和oledbhelper
2、跨站指令碼漏洞
解決辦法:「預設禁止,顯式允許」的策略。具體參考:從客戶端檢測到有潛在危險的request.form值,禁止提交html標記(<>等被轉義成<)
3、上傳漏洞
解決辦法:禁止上傳目錄的執行許可權。只給讀取許可權。另外要禁止上傳非法型別檔案。不僅僅是aspx型別,包括很多,甚至htm、html型別檔案也不應該直接上傳儲存。
4、資料庫連線帳號,盡量使用最低許可權的帳號。一定不要給管理員許可權。
以上是程式方面的安全問題,想到**就寫到**。沒有系統的整理。
另外順便提提伺服器安全問題。
1 :sql注入:
解決方案:
a.
這個問題主要是由於傳入特殊字元引起的我們可以在對輸 入的使用者名稱密碼進入過濾特殊字元處理。
b.
使用儲存過程通過傳入引數的方法可解決此類問題(注 意:在儲存過程中不可使用拼接實現,不然和沒用儲存過和是一樣的 )。
2.xss(跨站指令碼 攻擊):
解決方案:
a.
通過在page
指令或配置節中設定
validaterequest="false"
禁用請求驗證,然後我們對使用者提交的資料進行
htmlencode
,編碼後的就不會出現這種問題了(
asp.net
中編碼方法:
server.htmlencode(string))。
b.
第二種是過濾特殊字元,這種方法就不太提倡了,如果用 戶想輸入小於號(
<
)也會被過濾掉
3.csrf(跨 站點請求偽造):
解決方案:
修改資訊時新增驗證碼或新增
session
令牌(asp.net
中已經提供乙個自動防範的方法,就是用頁面屬性
viewstateuserkey
。在page_init
方法中設定其值:
this.viewstateuserkey = session.sessionid)。
4.
文 件上傳:
解決方案:
在 使用者登入時加入是否可上傳檔案的 session 標誌。其實 fckeditor 已經寫好了。直接把驗證函式 checkauthentication() 中的注釋段中 checkauthentication()
return
( session[ "isauthorized" ] !=
null
&& (bool)session[ "isauthorized" ] ==
true);
SELinux安全防護
實現此案例需要按照如下步驟進行。步驟一 將linux伺服器的selinux設為enforcing強制模式 1 固定配置 修改 etc selinux config檔案 確認或修改selinux為enforcing模式 root svr5 vim etc selinux config selinux ...
簡單安全防護
盡量將埠禁用,盡量不要將埠暴露在公網,盡量僅供127.0.0.1訪問 如非必要,盡量不要將服務暴露在公網,尤其是資料庫等服務 設定連續登入失敗禁用一段時間,防爆破 攻擊者一般直接使用ip來攻擊 可以將ip訪問的預設 只寫乙個首頁 上述不利於搜尋引擎收錄,可以將搜尋引擎的網域名稱加入白名單使用ngin...
linux 安全防護
這些都是破解失敗記錄。網路暴力破解的系統登陸安全日誌檢視 root zwlbsweb cd var log root zwlbsweb log ll h 省略部分資訊 rw 1 root root 4.9m jul 17 10 10 secure rw 1 root root 38m jun 24 ...