18665606093
從廣州網站建設開始,就要做好這些安全措施。如果你的網站做到了以下幾點,那就相對安全了。如題,網站常見漏洞有20種,防范方法。
1、越權
問題描述:不同權限的賬戶之間存在未授權訪問。
修改建議:加強用戶權限驗證。
注意:
經常通過不同權限的用戶之間的鏈接訪問,cookie,修改id等。
2.明文傳輸
問題描述:系統用戶密碼保護不足。攻擊者可以使用攻擊工具從網絡中竊取合法的用戶密碼數據。
修改建議:傳輸的密碼必須加密。
注意:所有密碼都應該加密。需要復雜的加密。不要使用base64或md5。
3.sql注入
問題描述:攻擊者可以通過利用sql注入漏洞獲取數據庫中的各種信息,如管理后臺的密碼,從而擺脫數據庫中的內容(去數據庫)。
修改建議:過濾并驗證輸入參數。采用黑白名單。
注意:過濾和驗證應覆蓋系統中的所有參數。
4.跨站點腳本攻擊
問題描述:輸入信息未經驗證,攻擊者可以通過巧妙的方法向網頁注入惡意的指令代碼。這段代碼通常是JavaScript,但其實也可以包括Java、VBScript、ActiveX、Flash或者普通HTML。攻擊成功后,攻擊者可以獲得更高的權限。
修改建議:過濾并驗證用戶輸入。HTML實體編碼的輸出。
注意:過濾、驗證、HTML實體編碼。覆蓋所有參數。
5.文件上傳漏洞
問題描述:文件上傳沒有限制,可以和可執行文件或者腳本文件一起上傳。進一步導致服務器的崩潰。
修改建議:嚴格驗證上傳文件,防止上傳asp、aspx、asa、php、jsp等危險腳本。同事要加入表頭驗證,防止用戶上傳非法文件。
6.背景地址泄露
問題描述:后臺地址太簡單,為攻擊者攻擊后臺提供了方便。
修改建議:修改后臺地址鏈接,比較復雜。
7.敏感信息被泄露
問題描述:系統暴露內部信息,如網站絕對路徑、網頁源代碼、SQL語句、中間件版本、程序異常等。
修改建議:過濾用戶輸入的異常字符。屏蔽一些錯誤回聲,如自定義404、403、500等。
8.命令執行漏洞
問題描述:腳本程序調用php的system,exec,shell_exec等。
修改建議:打補丁要嚴格限制系統中要執行的命令。
9.目錄遍歷漏洞
問題描述:公開目錄信息,如開發語言和站點結構修改建議:修改相關配置。
10.會話重放攻擊
問題描述:數據包重復提交。
修改建議:添加令牌認證。此圖片的時間戳或驗證碼。
11.CSRF(跨站點請求偽造)
問題描述:利用登錄用戶在不知情的情況下執行某些操作的攻擊。
修改建議:添加令牌認證。此圖片的時間戳或驗證碼。
12.任意文件包含和任意文件下載
問題描述:任何文件包含,系統沒有合理檢查傳入文件名,從而操作意外文件。下載任何文件。系統提供下載功能,但不限制下載文件名。
修改建議:限制用戶提交的文件名。防止惡意文件讀取和下載。
13.設計缺陷/邏輯錯誤
問題描述:程序通過邏輯實現豐富的功能。很多時候邏輯功能有缺陷。比如程序員的安全意識,考慮不周等等。
修改建議:加強程序設計和邏輯判斷。
14.XML實體注入
問題描述:當允許引用外部實體時,惡意內容會導致讀取任意文件、執行系統命令、檢測intranet端口等等。
修改建議:使用開發語言提供的禁用外部實體的方法過濾用戶提交的XML數據。
15.檢測有風險的無關服務和端口
問題描述:檢測有風險的無關服務和端口,為攻擊者提供便利。
修改建議:關閉無用的服務和端口。前期只會打開80和數據庫端口,使用時會打開20或21個端口。
16.登錄功能驗證碼的漏洞
問題描述:一個有效的數據包被反復惡意重復發送到服務器。服務器沒有有效限制用戶提交的數據包。
修改建議:服務器后端刷新驗證碼,數據包一提交就刷新數據號。
17.不安全的餅干
問題描述:cookies包含用戶名或密碼等敏感信息。
修改建議:從cookies中刪除用戶名和密碼。
18、SSL3.0
問題描述:SSL是一種為網絡通信提供安全性和數據完整性的安全協議。SSl會爆一些漏洞。例如心臟滲血。
修改建議:升級OpenSSL版本
19.SSRF脆弱性
問題描述:服務器請求是偽造的。
修改建議:修補或卸載無用的軟件包
20.默認密碼和弱密碼
問題描述:因為默認密碼和弱密碼很容易猜到。
修改建議:加強密碼強度不適用于弱密碼
注意:不要在密碼中使用常用詞。例如root123456,admin1234,qwer1234,p@ssw0rd等。
添加企業微信
18665606093
