真是應了那樣一句話:「用到了,才體會深刻」。
近期,安全評估小組對我負責的web系統進行安全檢查,發現了很多漏洞,這些都是我平常沒有注意到的地方,或者認為不是那麼重要的地方。
1,sql注入
(1) 比如,從前端接收乙個id,來查詢或更新資料時,如果id被篡改為id="100 and 1=2",則會查詢為空。
(2) 單引號
可以在執行sql前,使用mysql_escape_string()方法。
注意:yii的activerecord已經考慮該問題。
參考:2,xss漏洞
比如有乙個輸入框:input,輸入了一段」/>「,則在顯示時會引起安全問題。因為他先封閉了html標籤,然後執行一段指令碼。
解決辦法:進行html標籤過濾。
htmlspecialchars方法()
把一些預定義的字元轉換為 html 實體。
預定義的字元是:
& (和號) 成為 &
" (雙引號) 成為 "
' (單引號) 成為 '
< (小於) 成為 <
> (大於) 成為 >
3,定時任務篡改
引數組攜帶ls -al命令,再用system();輸出。
WEB系統安全檢測及修復辦法
系統安全檢測及修復辦法 漏洞介紹 ssl tls suffers bar mitzvah attack 漏洞是由於https 傳輸資料加密使用 rc4加密演算法,存在大約 64個位元組的明文資料會留給攻擊者,存在的安全漏洞較高,主要是由於 web容器開啟了 ssl tls 訪問方式 並未遮蔽 rc4...
系統安全管理
1 禁止root使用者登陸,使用普通使用者登陸再切換root使用者 2 更改ssh連線埠 3 定期更改系統密碼,或使用金鑰的方式連線 4 使用堡壘機管理伺服器 5 編寫指令碼防止ssh暴力破解 1 shell指令碼 bin bash denyhosts shell scripts if d root...
系統安全 Firewall
netfilter iptables是與最新的2.6.x版本linux核心整合的ip資訊包過濾系統。如果linux系統連線到網際網路或lan 伺服器或連線lan和網際網路的 伺服器,則該系統有理由在linux系統上更好的控制ip資訊包過濾和防火牆配置。雖然netfilter iptablesip資訊...