您的位置:首 页> 站长资讯 >> 干货分享

网站建设中哪些安全漏洞比较常见?

网站建设中哪些安全漏洞比较常见?

网络安全是现在大家都比较关注的一个问题,如果一个企业的网站出现漏洞,将会严重影响企业的形象。那么“网站建设中哪些安全漏洞比较常见?”接下来跟着小编一起来了解一下有关的问题吧。

sql注入

描述:攻击者利用sql注入漏洞,可以获取数据库中的多种信息,如:管理后台的密码,从而脱取数据库中的内容。

解决方法:对输入参数进行过滤、校验,采用黑白名单方式,过滤、校验要覆盖系统内所有的参数。

网站建设中哪些安全漏洞比较常见?

跨站脚本攻击

描述:对输入信息没有进行校验,攻击者可以通过巧妙的方法注入恶意指令代码到网页。这种代码通常是JavaScript,但实际上,也可以包括Java、VBScript、ActiveX、Flash 或者普通的HTML。攻击成功之后,攻击者可以拿到更高的权限。

解决方法:对用户输入进行过滤、校验,输出进行HTML实体编码。

明文传输

描述:对系统用户口令保护不足,攻击者可以利用攻击工具,从网络上窃取合法的用户口令数据。

解决方法:传输的密码必须加密,要复杂加密,不要用base64或md5。

文件上传漏洞

描述:没有对文件上传限制,可能会被上传可执行文件,或脚本文件。进一步导致服务器沦陷。

解决方法:严格验证上传文件,防止上传asp、aspx、asa、php、jsp等危险脚本。同时,建议加入文件头验证,防止用户上传非法文件。

命令执行漏洞

描述:脚本程序调用如php 的 system、exec、shell_exec等。

解决方法:打补丁,对系统内需要执行的命令要严格限制。

CSRF(跨站请求伪造)

描述:使用已经登陆用户,在不知情的情况下执行某种动作的攻击。

解决方法:添加token验证。时间戳或这图片验证码。

任意文件包含、任意文件下载

描述:任意文件包含,系统对传入的文件名没有合理的校验,从而操作了预想之外的文件。任意文件下载,系统提供了下载功能,却未对下载文件名进行限制。

解决方法:对用户提交的文件名限制。防止恶意的文件读取、下载。

敏感信息泄露

描述:系统暴露内部信息,如:网站的绝对路径、网页源代码、SQL语句、中间件版本、程序异常等信息。

解决方法:对用户输入的异常字符过滤,屏蔽一些错误回显,如自定义404、403、500等。

XML实体注入

描述:当允许引用外部实体是,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口等等。

解决方法:使用开发语言提供的禁用外部实体方法,过滤用户提交的XML数据。

SSRF漏洞

描述:服务端请求伪造。

解决方法:打补丁,或者卸载无用的包。

不安全的cookies

描述:cookies中包含用户名或密码等敏感信息。

解决方法:去掉cookies中的用户名,密码。

以上就是关于“网站建设中哪些安全漏洞比较常见?”的有关内容,希望小编的回答对大家来说有所收获,如果您还想了解更多的内容,可以随时联系我们。

用手机扫描二维码关闭
二维码