鶴壁建網站公司講講網站建設中有哪些常見的安全漏洞?
2021-11-24
�������������來(lai)自:
河南省鶴壁市鑫網(wang)信息技(ji)術有限公司
瀏覽次(ci)數:318
鶴壁建網站公司講(jiang)講(jiang)網站建(jian)設中有哪些常(chang)見(jian)的安全漏�����(lou)洞?
1、明文傳輸
問題(ti)描述:對體系����用戶口令維護不足(zu),攻(gong)打(da)者可能�������(neng)利用攻(gong)打(da)工具,從網絡上竊(qie)取正當的用戶口令數據。
修改倡導:傳輸的密碼必(bi)須加密。
留神:所有密碼要(yao)加密。要(yao�����)龐雜加密。不(bu)要(�������yao)用base64或(huo)md5。
2、sql注入
問題(ti)描述:����攻(gong)打者利用(yong)sql注入漏洞,可(ke)能獲取數(shu)(shu)據庫中的(de)多種信息,如:治理后盾的(de)密碼,從而脫取數(shu)(shu������)據庫中的(de)內容(脫庫)。
修改(gai)倡導:對輸入參數(shu)進(jin)行過(guo)濾、校驗(yan)。采(cai)取黑白名單方�����法。
留神:過濾、校驗要籠罩體系內所有的參數。 鶴壁做網站
3、跨(kua)站(zhan)腳本攻打
問題描述:對(dui)輸入(ru)信息不進行校驗,攻打(�����da)者可能(neng)通過(guo)奇妙的方法注入(ru)歹(dai)意(yi)指(zhi)令代碼到網頁。這(zhe)種代碼通常是JavaScript,但(dan)實際上,也(ye����)可能(neng)包含Jav
A、VBScrip
T、Active
X、Flash或者(�����zhe)個別的HTML。攻打(da)勝利之后,攻打(da)者(zhe)可能拿到更高的權限。
修改倡導:對用戶輸入進行過濾、校驗。輸出進行HTML實體編碼。 鶴壁網絡公司
留(liu)神:過(guo)濾、校驗、HTML實(shi)體編碼。要籠罩所有參數(shu)。
4、文件上傳漏洞(dong)
問題(ti)描(miao)述:錯(cuo)誤文件(jian)上傳限(x�������ian)度,可(ke)能會被上傳可(ke)履行文件(jian),或腳本文件(jian)。進一步導致服務器淪陷。
修(xiu)改倡(chang)導:嚴(yan)格驗證上傳文件,避免上傳as
P、asp
X、as
A、ph
P、jsp等(deng)危險腳本。共事有名加������(jia)入文(wen����)件(jian)頭驗證,避免用戶上(shang)傳非法文(wen)件(jian)。
5、敏感信(xin)息泄(xie)漏
問(wen)題描述(shu):體系裸露內部信息,如:網站的絕DUI途(tu)徑������������(jing)、網頁源代碼、SQL語句、旁邊件(jian)版本、程序異樣等信息。
修改倡導(dao):對用戶輸入(ru)的異樣(yang)字符過濾。屏蔽(bi)一些錯�����誤回(hui)顯,如自定義(yi)404、403、500等。
6、命令履(lv)行漏洞
問題描述:腳本程序調(diao)用如(ru)php的syste
M、exe
C、shell_exec等(deng)。網址(zhi)建設(she)前(qian)期(qi)(qi)準(zhun)備包(bao)括(kuo)了(le)前(qian)期(qi)(qi)網站定位、內(nei)容差異化、頁面溝通等(deng)戰略性調(diao)研(yan),這(zhe)些(xie)確立后,再去注冊域名(ming)、租用空(kong)間、網站風格設(she)計(ji)、網站代(dai)碼制作五個(ge)部分,這(zhe)個(ge)過(guo)程需要網站策劃人(ren)員、美術設(she)計(ji)人(ren)員、WEB程序員共(gong������)同完成(cheng)。
修改(gai)倡導:打補(bu)丁,對體系內須要履(lv)行的命令要嚴格限度。
7、CSRF(跨站懇求捏造)
問題描述:利用(y�������ong)已經登陸用(yong)戶,在不知(zhi)情的情況(kuang)下履行某種動(dong�������)作的攻打。
修(xiu)改倡導:增加token驗(yan)證。時光戳(chuo)或這圖片驗(yan)證碼。
8、SSRF漏洞
問題描述:服(fu)務端懇(ke������n)求捏造。網(wang)址(zhi)建設前期準(zhun)備包(bao)括了前期網(wang)站(zhan)定位、內容差異化、頁面溝通等戰略性(xing)調研,這(zhe)些確立后,再(zai)去(qu)注冊域名、租(zu)用空間(jian)、網(wang)站(zhan)風(feng)格(ge)設計、網(wang)站(zhan)代碼制作五個(ge)部分(fen),這(zhe)個(ge)過程(cheng)需(xu)要(yao)網(wang)站(zhan)策(ce)劃(hua)人員�����、美術設計人員、WEB程(cheng)序(xu)員共同完成。
修改倡導:打補丁,或者卸(xie)載(zai)無用的包
9、默認口令(ling)、弱口令(ling)
問題描述:因為(wei)默認口令、弱口令很輕易讓人(ren)猜到(dao)。
修改倡導(dao):加強口(kou)令強度不實用弱口(kou)令
留神:口令不要呈現常見的單詞。如:root123456、admin1234、qwer1234、pssw0rd等。鶴壁網站制作
