亚洲日本熟女中文字幕-午夜直播在线福利视频-av网站在线播放网站-韩国激情视频免费在线观看-大鸡巴插入小姨妹B视频-夜夜一区二区三区蜜臀-青青草毛片在线视频免费看-最新日韩精品视频免费在线观看-亚洲成人午夜精品电影

　　從廣州網(wǎng)站建設(shè)開(kāi)始，就要做好這些安全措施。如果你的網(wǎng)站做到了以下幾點(diǎn)，那就相對(duì)安全了。如題，網(wǎng)站常見(jiàn)漏洞有20種，防范方法。

　　1、越權(quán)

　　問(wèn)題描述：不同權(quán)限的賬戶之間存在未授權(quán)訪問(wèn)。

　　修改建議：加強(qiáng)用戶權(quán)限驗(yàn)證。

　　注意：

　　經(jīng)常通過(guò)不同權(quán)限的用戶之間的鏈接訪問(wèn)，cookie，修改id等。

　　2.明文傳輸

　　問(wèn)題描述：系統(tǒng)用戶密碼保護(hù)不足。攻擊者可以使用攻擊工具從網(wǎng)絡(luò)中竊取合法的用戶密碼數(shù)據(jù)。

　　修改建議：傳輸?shù)拿艽a必須加密。

　　注意：所有密碼都應(yīng)該加密。需要復(fù)雜的加密。不要使用base64或md5。

　　3.sql注入

　　問(wèn)題描述：攻擊者可以通過(guò)利用sql注入漏洞獲取數(shù)據(jù)庫(kù)中的各種信息，如管理后臺(tái)的密碼，從而擺脫數(shù)據(jù)庫(kù)中的內(nèi)容(去數(shù)據(jù)庫(kù))。

　　修改建議：過(guò)濾并驗(yàn)證輸入?yún)?shù)。采用黑白名單。

　　注意：過(guò)濾和驗(yàn)證應(yīng)覆蓋系統(tǒng)中的所有參數(shù)。

　　4.跨站點(diǎn)腳本攻擊

　　問(wèn)題描述：輸入信息未經(jīng)驗(yàn)證，攻擊者可以通過(guò)巧妙的方法向網(wǎng)頁(yè)注入惡意的指令代碼。這段代碼通常是JavaScript，但其實(shí)也可以包括Java、VBScript、ActiveX、Flash或者普通HTML。攻擊成功后，攻擊者可以獲得更高的權(quán)限。

　　修改建議：過(guò)濾并驗(yàn)證用戶輸入。HTML實(shí)體編碼的輸出。

　　注意：過(guò)濾、驗(yàn)證、HTML實(shí)體編碼。覆蓋所有參數(shù)。

　　5.文件上傳漏洞

　　問(wèn)題描述：文件上傳沒(méi)有限制，可以和可執(zhí)行文件或者腳本文件一起上傳。進(jìn)一步導(dǎo)致服務(wù)器的崩潰。

　　修改建議：嚴(yán)格驗(yàn)證上傳文件，防止上傳asp、aspx、asa、php、jsp等危險(xiǎn)腳本。同事要加入表頭驗(yàn)證，防止用戶上傳非法文件。

　　6.背景地址泄露

　　問(wèn)題描述：后臺(tái)地址太簡(jiǎn)單，為攻擊者攻擊后臺(tái)提供了方便。

　　修改建議：修改后臺(tái)地址鏈接，比較復(fù)雜。

　　7.敏感信息被泄露

　　問(wèn)題描述：系統(tǒng)暴露內(nèi)部信息，如網(wǎng)站絕對(duì)路徑、網(wǎng)頁(yè)源代碼、SQL語(yǔ)句、中間件版本、程序異常等。

　　修改建議：過(guò)濾用戶輸入的異常字符。屏蔽一些錯(cuò)誤回聲，如自定義404、403、500等。

　　8.命令執(zhí)行漏洞

　　問(wèn)題描述：腳本程序調(diào)用php的system，exec，shell_exec等。

　　修改建議：打補(bǔ)丁要嚴(yán)格限制系統(tǒng)中要執(zhí)行的命令。

　　9.目錄遍歷漏洞

　　問(wèn)題描述：公開(kāi)目錄信息，如開(kāi)發(fā)語(yǔ)言和站點(diǎn)結(jié)構(gòu)修改建議：修改相關(guān)配置。

　　10.會(huì)話重放攻擊

　　問(wèn)題描述：數(shù)據(jù)包重復(fù)提交。

　　修改建議：添加令牌認(rèn)證。此圖片的時(shí)間戳或驗(yàn)證碼。

　　11.CSRF(跨站點(diǎn)請(qǐng)求偽造)

　　問(wèn)題描述：利用登錄用戶在不知情的情況下執(zhí)行某些操作的攻擊。

　　修改建議：添加令牌認(rèn)證。此圖片的時(shí)間戳或驗(yàn)證碼。

　　12.任意文件包含和任意文件下載

　　問(wèn)題描述：任何文件包含，系統(tǒng)沒(méi)有合理檢查傳入文件名，從而操作意外文件。下載任何文件。系統(tǒng)提供下載功能，但不限制下載文件名。

　　修改建議：限制用戶提交的文件名。防止惡意文件讀取和下載。

　　13.設(shè)計(jì)缺陷/邏輯錯(cuò)誤

　　問(wèn)題描述：程序通過(guò)邏輯實(shí)現(xiàn)豐富的功能。很多時(shí)候邏輯功能有缺陷。比如程序員的安全意識(shí)，考慮不周等等。

　　修改建議：加強(qiáng)程序設(shè)計(jì)和邏輯判斷。

　　14.XML實(shí)體注入

　　問(wèn)題描述：當(dāng)允許引用外部實(shí)體時(shí)，惡意內(nèi)容會(huì)導(dǎo)致讀取任意文件、執(zhí)行系統(tǒng)命令、檢測(cè)intranet端口等等。

　　修改建議：使用開(kāi)發(fā)語(yǔ)言提供的禁用外部實(shí)體的方法過(guò)濾用戶提交的XML數(shù)據(jù)。

　　15.檢測(cè)有風(fēng)險(xiǎn)的無(wú)關(guān)服務(wù)和端口

　　問(wèn)題描述：檢測(cè)有風(fēng)險(xiǎn)的無(wú)關(guān)服務(wù)和端口，為攻擊者提供便利。

　　修改建議：關(guān)閉無(wú)用的服務(wù)和端口。前期只會(huì)打開(kāi)80和數(shù)據(jù)庫(kù)端口，使用時(shí)會(huì)打開(kāi)20或21個(gè)端口。

　　16.登錄功能驗(yàn)證碼的漏洞

　　問(wèn)題描述：一個(gè)有效的數(shù)據(jù)包被反復(fù)惡意重復(fù)發(fā)送到服務(wù)器。服務(wù)器沒(méi)有有效限制用戶提交的數(shù)據(jù)包。

　　修改建議：服務(wù)器后端刷新驗(yàn)證碼，數(shù)據(jù)包一提交就刷新數(shù)據(jù)號(hào)。

　　17.不安全的餅干

　　問(wèn)題描述：cookies包含用戶名或密碼等敏感信息。

　　修改建議：從cookies中刪除用戶名和密碼。

　　18、SSL3.0

　　問(wèn)題描述：SSL是一種為網(wǎng)絡(luò)通信提供安全性和數(shù)據(jù)完整性的安全協(xié)議。SSl會(huì)爆一些漏洞。例如心臟滲血。

　　修改建議：升級(jí)OpenSSL版本

　　19.SSRF脆弱性

　　問(wèn)題描述：服務(wù)器請(qǐng)求是偽造的。

　　修改建議：修補(bǔ)或卸載無(wú)用的軟件包

　　20.默認(rèn)密碼和弱密碼

　　問(wèn)題描述：因?yàn)槟J(rèn)密碼和弱密碼很容易猜到。

　　修改建議：加強(qiáng)密碼強(qiáng)度不適用于弱密碼

　　注意：不要在密碼中使用常用詞。例如root123456，admin1234，qwer1234，p@ssw0rd等。