在線客服系統(tǒng)
十三年專注于網(wǎng)站建設(shè)與互聯(lián)網(wǎng)應(yīng)用開發(fā),低調(diào)、有情懷的網(wǎng)絡(luò)應(yīng)用服務(wù)商!
南昌百恒科技微信公眾號(hào) 掃一掃關(guān)注
tel-icon全國服務(wù)熱線:400-680-9298,0791-88117053
掃一掃關(guān)注百恒科技微信公眾號(hào)

網(wǎng)站建設(shè)中常見的安全漏洞有哪些

百恒 2018-04-11 14:58:44 2900
? ? ? ?隨著互聯(lián)網(wǎng)的發(fā)展,大家對(duì)網(wǎng)絡(luò)的安全問題越來越重視。如果一個(gè)企業(yè)的網(wǎng)站出現(xiàn)了安全問題,那么不僅會(huì)影響企業(yè)的形象,還會(huì)影響用戶對(duì)企業(yè)的信任度。因此,我們?cè)?strong>南昌網(wǎng)站建設(shè)初期就應(yīng)該做好網(wǎng)站的安全預(yù)防工作。那么今天百恒網(wǎng)絡(luò)就來和大家分享一下網(wǎng)站建設(shè)中常見的一些安全漏洞問題,希望能夠幫到大家。

? ? ? ?1、明文傳輸
? ? ? ?描述:對(duì)系統(tǒng)用戶口令保護(hù)不足,攻擊者可以利用攻擊工具,從網(wǎng)絡(luò)上竊取合法的用戶口令數(shù)據(jù)。
? ? ? ?解決方法:傳輸?shù)拿艽a必須加密,要復(fù)雜加密,不要用base64或md5。

? ? ? ?2、sql注入
? ? ? ?描述:攻擊者利用sql注入漏洞,可以獲取數(shù)據(jù)庫中的多種信息,如:管理后臺(tái)的密碼,從而脫取數(shù)據(jù)庫中的內(nèi)容。
? ? ? ?解決方法:對(duì)輸入?yún)?shù)進(jìn)行過濾、校驗(yàn),采用黑白名單方式,過濾、校驗(yàn)要覆蓋系統(tǒng)內(nèi)所有的參數(shù)。

? ? ? ?3、跨站腳本攻擊
? ? ? ?描述:對(duì)輸入信息沒有進(jìn)行校驗(yàn),攻擊者可以通過巧妙的方法注入惡意指令代碼到網(wǎng)頁。這種代碼通常是JavaScript,但實(shí)際上,也可以包括Java、VBScript、ActiveX、Flash 或者普通的HTML。攻擊成功之后,攻擊者可以拿到更高的權(quán)限。
? ? ? ?解決方法:對(duì)用戶輸入進(jìn)行過濾、校驗(yàn),輸出進(jìn)行HTML實(shí)體編碼。

? ? ? ?4、文件上傳漏洞
? ? ? ?描述:沒有對(duì)文件上傳限制,可能會(huì)被上傳可執(zhí)行文件,或腳本文件。進(jìn)一步導(dǎo)致服務(wù)器淪陷。
? ? ? ?解決方法:嚴(yán)格驗(yàn)證上傳文件,防止上傳asp、aspx、asa、php、jsp等危險(xiǎn)腳本。同時(shí),建議加入文件頭驗(yàn)證,防止用戶上傳非法文件。

? ? ? ?5、敏感信息泄露
? ? ? ?描述:系統(tǒng)暴露內(nèi)部信息,如:網(wǎng)站的絕對(duì)路徑、網(wǎng)頁源代碼、SQL語句、中間件版本、程序異常等信息。
? ? ? ?解決方法:對(duì)用戶輸入的異常字符過濾,屏蔽一些錯(cuò)誤回顯,如自定義404、403、500等。

? ? ? ?6、命令執(zhí)行漏洞
? ? ? ?描述:腳本程序調(diào)用如php 的 system、exec、shell_exec等。
? ? ? ?解決方法:打補(bǔ)丁,對(duì)系統(tǒng)內(nèi)需要執(zhí)行的命令要嚴(yán)格限制。

? ? ? ?7、CSRF(跨站請(qǐng)求偽造)
? ? ? ?描述:使用已經(jīng)登陸用戶,在不知情的情況下執(zhí)行某種動(dòng)作的攻擊。
? ? ? ?解決方法:添加token驗(yàn)證。時(shí)間戳或這圖片驗(yàn)證碼。

? ? ? ?8、任意文件包含、任意文件下載
? ? ? ?描述:任意文件包含,系統(tǒng)對(duì)傳入的文件名沒有合理的校驗(yàn),從而操作了預(yù)想之外的文件。任意文件下載,系統(tǒng)提供了下載功能,卻未對(duì)下載文件名進(jìn)行限制。
? ? ? ?解決方法:對(duì)用戶提交的文件名限制。防止惡意的文件讀取、下載。

? ? ? ?9、XML實(shí)體注入
? ? ? ?描述:當(dāng)允許引用外部實(shí)體是,通過構(gòu)造惡意內(nèi)容,可導(dǎo)致讀取任意文件、執(zhí)行系統(tǒng)命令、探測(cè)內(nèi)網(wǎng)端口等等。
? ? ? ?解決方法:使用開發(fā)語言提供的禁用外部實(shí)體方法,過濾用戶提交的XML數(shù)據(jù)。

? ? ? ?10、不安全的cookies
? ? ? ?描述:cookies中包含用戶名或密碼等敏感信息。
? ? ? ?解決方法:去掉cookies中的用戶名,密碼。

? ? ? ?11、SSRF漏洞
? ? ? ?描述:服務(wù)端請(qǐng)求偽造。
? ? ? ?解決方法:打補(bǔ)丁,或者卸載無用的包。

? ? ? ?在南昌網(wǎng)站建設(shè)中,除了以上幾種安全漏洞外,其實(shí)常見的安全漏洞還有很多。但由于時(shí)間關(guān)系,百恒網(wǎng)絡(luò)在此就不一一介紹了。了解更多這方面的資訊,歡迎來電和我們聯(lián)系。
400-680-9298,0791-88117053
掃一掃關(guān)注百恒網(wǎng)絡(luò)微信公眾號(hào)

歡迎您的光顧,我們將竭誠為您服務(wù)×

售前咨詢 售前咨詢
 
售前咨詢 售前咨詢
 
售前咨詢 售前咨詢
 
售前咨詢 售前咨詢
 
售前咨詢 售前咨詢
 
售后服務(wù) 售后服務(wù)
 
備案專線 備案專線
 
售后服務(wù) 售后服務(wù)
 
×