2021-06-24 18:49:45
随着互联网的发展,网站漏洞等安全问题越来越受到重视。一家公司的网站出现安全问题,会对公司的企业形象和客户信任造成很大伤害。那么,如何确保网站的安全问题呢?人们能做的就是在困难发生之前预防。今天,网编共享了一些网站建设中常见的安全漏洞。
1、明文传输
问题说明:系统用户密码保护不足。* * *用户可以使用* * *工具从网络上窃取合法用户密码数据。
修改建议:发送的密码需要加密。
注意:所有密码都必须加密。要进行复杂的加密。请勿使用Base64或MD5。
2、sql注入
问题说明:* * *可以利用SQL注入漏洞获取数据库中的各种信息(例如后台密码管理、数据库中的内容删除)。
修正建议:过滤、验证输入参数。采用黑白名单方式。
注意:过滤并确认是否复盖系统内的所有参数。
网站上常见的安全漏洞是什么,以及如何修改
3、跨站脚本***
问题说明:未确认输入信息。* * *可以用巧妙的方法将恶意命令代码注入网页。这段代码通常是JavaScript,但实际上也可以包含Java、VBScript、ActiveX、Flash或常规HTML。* * *成功后* * *人可以获得更高的权限。
修正建议:过滤、验证用户输入。输出编码为HTML实体。
注意:过滤、验证、HTML实体编码。要复盖所有参数:
4、文件上传漏洞
问题说明:对文件上传没有限制,可以上传可执行文件或脚本文件。进一步导致服务器沦陷。
修改建议:严格验证上传文件,防止上传ASP、aspx、asa、PHP、JSP等危险脚本。同事最好加入标头认证,以防止用户上传非法文件。
网站上常见的安全漏洞是什么,以及如何修改
5、敏感信息泄露
问题说明:系统会公开网站的绝对路径、网站源代码、SQL语句、中间件版本、程序异常等内部信息。
更正建议:过滤用户输入的例外字符。屏蔽一些错误反响,如用户定义的404、403、500等。
网站上常见的安全漏洞是什么,以及如何修改
6、命令执行漏洞
问题说明:调用脚本程序(例如,PHP的system、exec、shell_exec等)。
修正建议:应用修补程序,对需要在系统内执行的命令进行严格限制。
7、CSRF(跨站请求伪造)
问题说明:使用登录的用户在不知道的情况下执行某些操作的* * *。
修正建议:添加令牌验证。时间戳或这张照片验证码。
8、F漏洞
问题说明:伪造服务器端请求。
修正建议:应用补丁程序或删除不必要的程序包
9、默认口令、弱口令
问题说明:因为默认密码、弱密码很容易猜到。
修改建议:密码强度强化不适用于弱密码
注意:密码中不会出现一般单词。例如:根123456、管理1234、qwer1234、pssw0rd等。
10. frame引入控制
不知道为什么会被纳入网站安全问题。一个客户网站在第三方安全检测公司测试网站上有这样的漏洞,不得不处理。是从网上抄来的。
Java代码(用于拦截器):
response . add header(“x-frame-options”、“sameorigin”);
Nginx配置:
add _ header x-frame-options same origin
Apache配置:
Header Always Append x-Frame-options Same Origin
自然左右不是必然发生的系统漏洞。企业网站在经营全过程中要经常检查。最好由专业负责人对企业网站进行及时检查,确保网站安全。
