网站建设中常见的20个安全漏洞及预防方法(二)
11 CSRF(跨站请求伪造) 问题描述:使用已经登陆用户,网站在不知情的建设情况下执行某种动作的攻击。 修改建议:添加token验证。中常时间戳或这图片验证码。个安 12 任意文件包含、全漏任意文件下载 问题描述:任意文件包含,洞及系统对传入的预防文件名没有合理的校验,从而操作了预想之外的网站文件。任意文件下载,建设系统提供了下载功能,中常却未对下载文件名进行限制。个安 修改建议:对用户提交的全漏文件名限制。防止恶意的洞及文件读取、下载。预防 13 设计缺陷/逻辑错误 问题描述:程序通过逻辑实现丰富的网站功能。很多情况,逻辑功能存在缺陷。比如,程序员的安全意识、考虑的不周全等。 修改建议:加强程序的设计和逻辑判断。 14 XML实体注入 问题描述:当允许引用外部实体是,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口等等。 修改建议:使用开发语言提供的禁用外部实体方法,过滤用户提交的XML数据。 15 检测存在风险的无关服务和端口 问题描述:检测存在风险的无关服务和端口,为攻击者提供便利。 修改建议:关闭无用的服务和端口,前期只开80和数据库端口,使用的时候开放20或者21端口。 16 登陆功能验证码漏洞 问题描述:不断恶意重复一个有效的数据包,重复发给服务端。服务端未对用户提交的数据包进行有效的限制。 修改建议:验证码在服务器后端刷新,数据包提交一次数据数刷新一次。 17 不安全的cookies 问题描述:cookies中包含用户名或密码等敏感信息。 修改建议:去掉cookies中的用户名,密码。 18 SSL3.0 问题描述:SSL是为网络通信提供安全及数据完整性的一种安全协议。SSl会爆一些漏洞。如:心脏滴血漏洞等。 修改建议:升级OpenSSL版本 19 SSRF漏洞 问题描述:服务端请求伪造。 修改建议:打补丁,或者卸载无用的包 20 默认口令、弱口令 问题描述:因为默认口令、弱口令很容易让人猜到。 修改建议:加强口令强度不适用弱口令 注意:口令不要出现常见的单词。如:root123456、admin1234、qwer1234、p@ssw0rd 等。
-
上一篇
-
下一篇
- 最近发表
- 随机阅读
-
- PageAdmin网站模板有什么优势?
- 网站制作的原则有哪些?
- 如何才能做好网络微信营销的策略技巧
- 什么是锚文本、超链接、文本链接
- 信息流推广效果好不好?
- 如何快速集中网站权重提升排名
- 关键词优化到首页应该怎么做,有什么技巧吗?
- 网站的访问速度是用户体验最关键的细节
- 网络推广是选社交媒体还是选SEO,请看此文
- 网站SEO优化常用标签问题总结
- 网站关键词排名下降有哪些因素造成的?
- 其实SEO原创,比你想象中的更简单
- 企业网站建设时需要注意哪些SEO细节
- 做好新站的细节优化,让后续seo更加轻松
- 微商想做好微营销首先要知晓哪些技巧
- 为什么企业网站都必须要做好优化工作
- 外贸网站建设注意事项
- 微官网关于网络营销引流的小技巧有哪些
- 新站应该如何做SEO优化
- 移动端手机网站应该如何优化
- 搜索
-
- 友情链接
-
- 建设高端网站需要注意的几个事项?
- 深圳福田网站制作哪家好,外贸企业网站建设需要注意哪些?
- 深圳企业如何选择合适的网站制作公司
- 深圳网站建设动态网站与静态网站的区别
- 深圳网站建设对创新创业的推动力
- 初学者要如何做网站优化,深圳网站优化
- 对深圳网站建设前沿技术的深入分析
- 深圳电商网站建设:开启创新商业模式的新纪元
- 网站建设与SEO优化的关系解析
- 深圳网站制作:构建数字化时代的门户
- 如何设计一个引人注目的深圳本地网站?
- 增强用户体验的网站布局
- 深圳电子商务网站建设的策略和流程解析
- 企业网站建设中自然流量受什么因素的影响?
- 深圳福田网站建设报价,如何选择一家专业的网站建设公司?
- 提升曝光,拓展市场:深圳建网站助力您的业务迅速发展
- 数据驱动决策:深圳企业网站建设中的数据分析与优化手法
- 深圳网站制作|企业网站制作中有哪些注意事项?
- 深圳网站制作|如何来对网站进行更好的SEO优化?
- 深圳网站制作,专业的网站制作公司有哪些优势?