还剩1页未读,继续阅读
文本内容:
网站平安检查列表WEB平安电脑资料不管是做什么网站,平安是首先要考虑的,而且应该是非常重视网站的平安,
1.跨站脚本(XSS)向阅读器发送未经检查的用户提供的数据的构造用户提供的数据的问题是它完全超出了你的控制,而且它非常容易伪造referrer的值和隐藏表单字段中的值所以,在处理表单时,仔细验证数据并使用“回绝所有,允许少量”策略,也就是“黑”、“白”问题黑就是把一些认为是危险的字符制止,然后允许剩下的所有字符;白就是只承受我成认的字符,其他的一概回绝相对来说,白比黑明白更好,因为我们在考虑黑时,总会或多或少的漏掉一些东西,而且我们并不可以会想象出恶意用户会采用什么样的方法来攻击系统;而对于白而言,比方用户名,我只允许用户名为英文字符和数字,其他的一概回绝,这样就能防止一些恶意的用户名了还有就是发表博客,或者论坛的帖子时,假如允许HTML标签,可能就会破坏整个页面的布局
2.注入攻击SQL注入可能是我们议论的最多的网站攻击了防御的方法很简单,就是将从用户处接收到的数据全部转义
3.恶意文件执行允许执行没有驻留在效劳器删的任何脚本将使攻击者执行效劳器上的任意代码成为可能这一攻击的后果包括未被发觉的从应用程序中的数据提取或者效劳器的全部泄密恶意文件执行攻击适用于带有文件名(全部或者局部)或者带有于用户的文件的任何系统
4.不平安的直接对象引用一种形式就是修改URL地址中参数的值,想要获取其他本不属于自己的或本不存在的信息;还有就是利用在脚本内引用文件的形式来实现第二种情况是什么意思呢,就是说我们通过传过来的URL参数来包含相应的文件,可是假如传递的参数是恶意的,就会包含意外的文件而受到攻击因此,我们在使用URL地址传递过来的参数时,也应当进展相应的检查记住——用户提交的信息并不仅限于URL和表单参数!应当检查以确保未经检查的cookie值、恳求头和内容值也没有用在脚本中
5.跨站恳求伪造(CSRF)此种类型的攻击未经答应强迫受害者在另一个站点执行一些行为为了保护表单的自动提交,可创立一个在每次阅读表单时都重新生成的随机令牌,它被放置于会话变量中并位于表单中的一个隐藏字段中提交表单时,脚本检查令牌和会话变量中的值的匹配情况,仅当表单从真实站点载入有效——假如恳求于其他地方,页面将失效,
6.信息泄露和错误处理不当当脚本中有错误发生时,对攻击者游泳的信息可能会在错误信息中泄露例如Warning:mysqlconnect:Aessdeniedforusersitepoint@db.sitepoint.useringpassword:YESinvar//index.phponline12,此信息给潜在的攻击者提供了数据库效劳器的名称、数据库名和用户名;类似的,输出不正确的SQL语句的错误信息给攻击者提供了一个小小的观察你数据库构造的时机所以,我们在网站正式上线后,应当制止错误输出到阅读器而将错误信息记录到日志文件中
7.认证和会话挂历不完善认证和会话不完善这个脆弱这处和对账户与会话数据保护的不充分严密相关假如在用户前劫持了会话,攻击者只需要等待用户就可以获取个人账户的全部控制权
8.不平安的密码存储首先,就加密技术而言,不要改变自己的代码;第二记住吐过正在使用一种打算要译码的算法加密数据,那么其别人也可以对其进展解密严格来说,MD5和SHA并不是加密算法(也就是说,不能解密一个MD5字符串来获取它的原始数据);它们是信息算法但是假如不需要界面一个值,使用SHA-256,它在PHP
5.
1.2中的hash函数中可用假如此项不可选,可以选择稍低平安级别的MD5,可通过md5函数使用它
9.不平安的通信使用明文发送敏感信息类型的数据部仅仅是坏习惯,它还是不可原谅的例如,假如正在询问用户或者提供信誉卡详细信息,或者应用程序导致您的效劳器要和其他效劳器会话,就应该使用SSL来确保通信的平安
10.限制URL访问失败大多数应用程序会基于用户的特权级别来限制他们可用的链接然而,很多应用程序的用户受权系统在那一点停顿工作了,访问权限就会要确保你的用户仅能看到他们可以使用的链接,但是也要确保在允许用户继续使用之前每个页面都要检查用户的特权级别其实,网站受到的攻击类型还有很多,上面仅仅是了常见的几种类型模板内容仅供参考 。