web開發(fā)常見的幾大安全問題
時(shí)間:2023-05-28 03:15:01 | 來源:網(wǎng)站運(yùn)營
時(shí)間:2023-05-28 03:15:01 來源:網(wǎng)站運(yùn)營
web開發(fā)常見的幾大安全問題:
https://www.cnblogs.com/pretty-sunshine/p/11442326.htmlhttps://www.jianshu.com/p/c38b7f8ae8901、涉及到私密信息 使用post請求,因?yàn)樾畔⒎旁谡埱篌w中而不像get請求暴露在url上2�、HTTPS��。傳輸層保護(hù)不足�,在身份驗(yàn)證過程中沒有使用SSL / TLS����,因此暴露傳輸數(shù)據(jù)和會(huì)話Id.HTTP協(xié)議傳輸?shù)臄?shù)據(jù)都是未加密的,也就是明文的�����,因此使用HTTP協(xié)議傳輸隱私信息非常不安全�����。HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸�、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議����,要比http協(xié)議安全���。3、防止SQL注入����。把參數(shù)放在元組里,避免拼接sql語句4�、用戶密碼需要加密存儲(chǔ),設(shè)計(jì)一個(gè)完善能防范各種類型攻擊的用戶認(rèn)證系統(tǒng)�。5、防止CSRF(Cross Site Request Forgery)�����,即跨站請求偽造�����,是一種常見的Web攻擊��,它利用用戶已登錄的身份���,在用戶毫不知情的情況下�����,以用戶的名義完成非法操作�。-求時(shí)附帶驗(yàn)證信息,比如驗(yàn)證碼或者 Token6���、預(yù)防XSS (Cross-Site Scripting)����,跨站腳本攻擊���,因?yàn)榭s寫和 CSS重疊���,所以只能叫 XSS??缯灸_本攻擊是指通過存在安全漏洞的Web網(wǎng)站注冊用戶的瀏覽器內(nèi)運(yùn)行非法的HTML標(biāo)簽或JavaScript進(jìn)行的一種攻擊。-HttpOnly Cookie��。這是預(yù)防XSS攻擊竊取用戶cookie最有效的防御手段��。Web應(yīng)用程序在設(shè)置cookie時(shí)���,將其屬性設(shè)為HttpOnly,就可以避免該網(wǎng)頁的cookie被客戶端惡意JavaScript竊取,保護(hù)用戶cookie信息7�、點(diǎn)擊劫持,點(diǎn)擊劫持是一種視覺欺騙的攻擊手段����。攻擊者將需要攻擊的網(wǎng)站通過 iframe 嵌套的方式嵌入自己的網(wǎng)頁中,并將 iframe 設(shè)置為透明��,在頁面中透出一個(gè)按鈕誘導(dǎo)用戶點(diǎn)擊8���、URL跳轉(zhuǎn)漏洞��,借助未驗(yàn)證的URL跳轉(zhuǎn)��,將應(yīng)用程序引導(dǎo)到不安全的第三方區(qū)域����,從而導(dǎo)致的安全問題�。9、OS命令注入攻擊�����,OS命令注入和SQL注入差不多�,只不過SQL注入是針對數(shù)據(jù)庫的�,而OS命令注入是針對操作系統(tǒng)的����。OS命令注入攻擊指通過Web應(yīng)用,執(zhí)行非法的操作系統(tǒng)命令達(dá)到攻擊的目的�����。只要在能調(diào)用Shell函數(shù)的地方就有存在被攻擊的風(fēng)險(xiǎn)�。倘若調(diào)用Shell時(shí)存在疏漏,就可以執(zhí)行插入的非法命令��。命令注入攻擊可以向Shell發(fā)送命令���,讓W(xué)indows或Linux操作系統(tǒng)的命令行啟動(dòng)程序�����。也就是說���,通過命令注入攻擊可執(zhí)行操作系統(tǒng)上安裝著的各種程序。10��、DOS攻擊��,Denial of Service����,拒絕服務(wù),即無法及時(shí)接收并處理外界合法請求�����。11���、session劫持���,基于session的攻擊有很多種方式。大部分的手段都是首先通過捕獲合法用戶的session, 然后冒充該用戶來訪問系統(tǒng)����。也就是說,攻擊者至少必須要獲取到一個(gè)有效的session標(biāo)識符�,用于接下來的身份驗(yàn)證。12�����、文件上傳漏洞����,允許上傳任意文件可能會(huì)讓攻擊者注入危險(xiǎn)內(nèi)容或惡意代碼�,并在服務(wù)器上運(yùn)行��。解決方法:1:檢查服務(wù)器是否判斷了上傳文類型及后綴2:對上傳文件的目錄設(shè)置不可執(zhí)行 13��、沒有限制Url訪問��,系統(tǒng)已經(jīng)對URL的訪問做了限制��,但這種限制卻實(shí)際并沒有生效�����。攻擊中很容易偽造請求直接訪問未被授權(quán)的頁面14���、越權(quán)訪問���,用戶對系統(tǒng)某個(gè)模塊或功能沒有權(quán)限,通過拼接URL或Coolie欺騙來訪問該模塊或功能���。如Java中通過cookie.setHttpOnly(true);15����、泄露配置信息,服務(wù)器返回的提示或錯(cuò)誤信息中出現(xiàn)服務(wù)器版本信息泄露��、程序出錯(cuò)泄露物理路徑�、程序出錯(cuò)返回SQL語句���、過于詳細(xì)的用戶驗(yàn)證返回信息16���、不安全的加密存儲(chǔ),常見的問題是不安全的密鑰生成和存儲(chǔ)17���、重復(fù)提交數(shù)據(jù)�,程序員在代碼中沒有對重復(fù)提交請求做限制����,導(dǎo)致數(shù)據(jù)重復(fù)網(wǎng)絡(luò)病毒網(wǎng)絡(luò)攻擊
在線咨詢