网站建设服务热线 服务热线: 0571-88730320
网站建设公司
您的当前位置: 首页 » 建站经验 » 网站建设中常见的19个安全漏洞及修改方法

网站建设中常见的19个安全漏洞及修改方法

发布时间:2020-05-29 18:00:00

从网站建设之初,就要做好这些安全措施。如果你的网站做到以下几点,它是相对安全的。正如标题所说,该网站共有19个常见漏洞和预防方法。

1、越权:问题描述:具有不同权限的帐户之间存在越权访问。修改建议:加强用户权限认证。注意:它通常通过具有不同权限的用户、cookies、修改过的id等之间的链接访问。

2、明文传输问题描述:系统用户密码保护不足,攻击者可以利用攻击工具从网络中窃取合法的用户密码数据。修改建议:传输的密码必须加密。注意:所有密码都应该加密。复杂的加密。不要使用Base64或MD5。

3、SQL注入:问题描述:攻击者可以利用SQL注入漏洞获取数据库中的各种信息,例如:在后台管理密码,从而清除数据库中的内容。修改建议:过滤并验证输入参数。采用黑白名单。注:过滤和验证应涵盖系统中的所有参数。

4、跨站点脚本攻击:问题描述:输入信息未经验证,攻击者可以通过巧妙的方法将恶意指令代码注入网页。这段代码通常是JavaScript,但实际上,它也可以包括Java、VBScript、ActiveX、flash或纯HTML。攻击成功后,攻击者可以获得更高的权限。修改建议:过滤和验证用户输入。输出是HTML实体编码的。注意:过滤,验证,HTML实体代码。覆盖所有参数。

5、文件上载漏洞:问题描述:文件上载没有限制,可能上载到可执行文件或脚本文件。进一步导致服务器故障。修改建议:严格对上传的文件进行验证,防止上传ASP、ASPX、ASA、PHP、JSP等危险脚本,由同事加入文件头验证,防止用户上传非法文件。

6、后台地址泄露问题描述:后台地址太简单,为攻击者攻击后台提供了方便。修改建议:修改后台地址链接,复杂点。

7、敏感信息公开:问题描述:系统公开内部信息,如网站路径、网页源代码、SQL语句、中间件版本、程序异常等信息。修改建议:过滤用户输入的异常字符。屏蔽一些错误回声,如自定义404、403、500等。

8、命令执行漏洞描述:PHP system、exec、shell exec等脚本程序调用修改建议:修补并严格限制系统中要执行的命令。

9、目录遍历漏洞描述:公开目录信息,如开发语言、站点结构修改建议:修改相关配置。

10、会话重放攻击问题描述:重复提交数据包。修改建议:添加令牌验证。时间戳或此图片验证码。

11、CSRF(跨站请求伪造)问题描述:使用登录用户在不知情的情况下执行操作的攻击。修改建议:添加令牌验证。时间戳或此图片验证码。

12、任何文件包含,任何文件下载:问题描述:任何文件包含,系统没有对传入文件名进行合理验证,从而操作意外文件。对于任何文件下载,系统提供下载功能,但不限制下载文件名。修改建议:限制用户提交的文件名。防止恶意文件读取和下载。

13、设计缺陷/逻辑错误:问题描述:程序通过逻辑实现丰富的功能。在许多情况下,逻辑功能是有缺陷的。例如,程序员的安全意识、考虑不充分等修改建议:加强程序设计和逻辑判断。

14、XML实体注入:问题描述:当允许引用外部实体时,可以构造恶意内容来读取任意文件、执行系统命令、检测内部网络端口,等修改建议:使用开发语言提供的禁用外部实体方法过滤用户提交的XML数据。

15、无关服务和危险端口的检测描述:检测无关服务和危险端口以方便攻击者。修改建议:关闭无用的服务和端口。在早期阶段,只打开端口80和数据库端口。使用时,端口20或端口21打开。

16、登录功能验证码漏洞描述:重复恶意向服务器重复有效数据包。服务器无法有效地限制用户提交的数据包。修改建议:验证码在服务器后端刷新,包提交的数据量刷新一次。

17、不安全Cookie的说明:Cookie包含敏感信息,如用户名或密码。修改建议:从cookies中删除用户名和密码。

18、SSRF漏洞:问题描述:服务器请求伪造。修改建议:修补或卸载无用的软件包

19、其他漏洞说明:其他漏洞修改建议:具体漏洞分析

临沂伴途建站公司 地址:浙江省杭州市余杭区联胜路10号 电话:0571-88730320 联系人:方经理