导航

如何预防网站建设中的安全漏洞
发布时间:2019-11-02 17:00:06发布作者:本站阅读次数:26
您当前的位置:网站首页 > 动态 > 行业新闻

  网站在建设过程当中,由于疏忽可能会导致一些安全漏洞发生,作为一名网站建设人员应该有必要了解网站在建设过程中可能出现的安全漏洞,以及如何预防安全漏洞的发生?

  明文传输

  问题描述:对系统用户密码的保护不足,攻击者可以使用攻击工具从网络窃取合法的用户密码数据。

  修改建议:传输的密码必须加密。

  注意:所有密码都是加密的。使加密复杂化。不要使用base64或md5。

  sql注入

  问题描述:攻击者使用sql注入漏洞来获取数据库中的各种信息,例如:管理后台密码,从而删除数据库的内容(去数据库)。

  修改建议:过滤并验证输入参数。使用黑白名单。

  注意:过滤和验证应覆盖系统中的所有参数。

  跨站脚本攻击

  问题描述:输入信息未经验证,攻击者可以巧妙地将恶意指令代码注入网页。该代码通常是JavaScript,但实际上,它也可以包括Java,VBScript,ActiveX,Flash或纯HTML。攻击成功后,攻击者可以获得更高的特权。

  修改建议:筛选并验证用户输入。输出以HTML实体编码。

  注意:过滤,检查HTML实体编码。覆盖所有参数。

  文件上传漏洞

  问题描述:没有文件上传限制,并且可执行文件或脚本文件可能已上传。进一步导致服务器掉线。

  修改建议:严格验证上传的文件,以防止上传危险的脚本,例如asp,aspx,asa,php,jsp等。建议同事添加文件头验证,以防止用户上传非法文件。

  敏感信息泄漏

  问题描述:系统公开内部信息,例如网站的绝对路径,网页的源代码,SQL语句,中间件版本和程序异常。

  修改建议:过滤用户输入的异常字符。阻止一些错误回声,例如自定义404、403、500等。

  

  命令执行漏洞

  问题描述:脚本程序调用如php的system、exec、shell_exec等。

  修改建议:对需要在系统中执行的命令进行修补,严格限制。

  CSRF(跨站请求伪造)

  问题描述:已经登录到用户并在不知情的情况下执行某种操作的攻击。

  修改建议:添加令牌验证。时间戳或此图片验证码。

  SSRF漏洞

  问题描述:服务器请求伪造。

  修改建议:修补或卸载无用的软件包

  默认密码,弱密码

  问题描述:因为默认密码,弱密码很容易猜到。

  修改建议:加强密码强度不适用于弱密码


相关推荐

我们的专业刚好满足您的需求

科讯网络,专业提供互联网互动产品解决方案

开始新项目

科讯网络-您身边的互联网应用方案提供商
科讯网络地址/ADDRESS
乐清市柳市浙南众创园A幢16F
温州市鹿城区新城物华大厦10F
科讯网络电话/TEL
0577-27775757(工作日)
18557702227(7×24)
科讯网络QQ咨询
1940823(售前)
540349686(售后)
科讯网络邮箱/E-mail
kefu@ksion.cn(业务)
科讯网络
品牌网站建设 Googles推广 百度SEO优化 阿里诚信通代运营 淘宝天猫代运营 品牌视觉设计

0577-27775757(工作日)

18557702227(7×24)

COPYRIGHT © 2012-2019 科讯网络 ALL RIGHTS RESERCED 浙ICP备16013043号-1 []

浙公网安备 33038202003708号

科讯网络
科讯网络
科讯网络
扫描关注科讯网络(Ksion.cn)官方微信
关 闭
科讯网络
扫描浏览科讯网络(Ksion.cn)移动官网
关 闭
提交需求