軟體開發完成後,在web伺服器在投入使用之前,應該確保伺服器是相對安全地。保證伺服器相對安全地前提是,要充分了解影響web系統安全。
1、跨站指令碼(xss)漏洞跨站指令碼攻擊發生在客戶端,可被用於進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意**等攻擊行為。解決方案:①④⑤對引數做html轉義過濾,要過濾的字元包括:單引號、雙引號、大於號、小於號、&符號,防止指令碼執行;②在變數輸出時進行html encode處理。
2、跨站請求偽造(csrf)漏洞惡意**通過指令碼向當前使用者瀏覽器開啟的其他頁面的url發起惡意請求,由於同乙個瀏覽器程序下cookie可見性,導致使用者身份被盜用,完成惡意**指令碼中指定的操作。該漏洞會導致使用者資訊洩露,被盜用後進行惡意操作。解決方案:①驗證請求是否是信任頁面發起的,隨機生成token植入session,再在後端進行一致性校驗。②驗證請求是否是合法使用者發起的,修復方案:驗證碼、密碼驗證、otp驗證。
3、http header注入漏洞web程式**中把使用者提交的引數未做過濾就直接輸出到http響應頭里,導致攻擊者可以利用該漏洞來注入到http響應頭中實現攻擊。解決方案:①對引數做合法性校驗以及長度限制,謹慎地根據使用者所傳入引數做http響應的header設定;②在設定http響應頭時,過濾回車換行%0d、%0a、%0d、%0a字元。
4、目標遍歷漏洞目標遍歷是由於web伺服器或web應用程式對使用者輸入檔名稱的安全性驗證不足而導致的一種安全漏洞,使得攻擊者通過http請求和利用一些特殊字元就可以繞過伺服器的安全限制,訪問任意受限檔案,甚至執行系統命令。解決方案:①嚴格檢查檔案路徑引數,限制在指定範圍。②嚴格限制檔案路徑引數,不允許使用者控制檔案路徑相關的引數。
5、sql注入漏洞sql注入攻擊,被廣泛用於非法獲取**控制權,是發生在應用程式的資料層上的安全漏洞。解決方案:①所有的資料庫查詢語句均使用資料庫提供的引數化查詢介面;②對特殊字元進行專業處理;③嚴格規定長度、統一編碼、避免**顯示sql錯誤提示資訊。
7、檔案上傳漏洞檔案上傳的web程式未對檔案型別和格式做合法性驗證,導致攻擊者可以上傳web shell或者非期望格式的檔案。解決方案:①對上傳的檔案大小和型別進行校驗,定義上傳檔案的白名單;②儲存上傳檔案的目錄不提供直接訪問。
以上就是會影響web系統安全漏洞,多加注意,相信你的伺服器一定能夠安全執行。
深圳市邏輯思維軟體****
推薦:web大前端開發中一些常見的安全性問題
常見前端安全漏洞及防範方法
參考文章 8大前端安全問題 上 8大前端安全問題 下 前端安全系列 一 如何防止xss攻擊?前端安全系列之二 如何防止csrf攻擊?前端安全知多少 跨站指令碼大全 核心 惡意指令碼注入 核心 利用使用者身份偽造請求 核心 廣告 彈框html注入 描述 當我們訪問頁面的時候,運營商在頁面的html 中...
前端常見安全漏洞簡單說明
一 csrf 跨站偽造請求 cross site request forgery 場景 登入系統後,點選了頁面上的未知鏈結 釣魚 釣魚 就會主動向你的 發起請求,這個時候你的登入態還是存在的,因為瀏覽器的不同程序之間可以共享登入態,所以釣魚 這個時候是可以順利以你的身份任意訪問你的 的介面。預防 目...
常見應用安全漏洞
1.注入 注入攻擊漏洞,例如sql os ldap注入。這些攻擊發生在當不可信的資料作為命令或查詢語句的一部分,被傳送給直譯器的時候,攻擊者傳送的惡意資料可以欺騙直譯器,以執行計畫外的命令或未授權的查詢。2.失效的身份認證和會話管理 與身份認證和會話管理相關的應用程式功能往往得不到正確的實現,這就導...