1.客户端脚本安全
XSS攻击,通常指黑客通过“html注入” 篡改了网页,插入了恶意的脚本,从而在用户浏览网页的时候,控制用户浏览器的一种攻击。
最常见的XSS攻击就是通过读取浏览器的Cookie对象,从而发起“cookie劫持”,当前用户的登录凭证存储于服务器的session中,而在浏览器中是以cookie的形式进行存储的,cookie被劫持后,意味着攻击者可以不通过密码而直接登录系统。我们也可以直接在浏览器中输入脚本javascript:alert(document.cookie)来获取当前cookie值。
解决的三种犯方法:1 使用filter来过滤敏感的关键字,2,将cookie和用户的IP进行绑定,3,为cookie植入httpOnly标识。
这里简单的来看一下httpOnly的方法,cookie一旦设置了httpOnly,在浏览器的document中看不到cookie对象了,而浏览器在浏览的时候不受任何的影响,这时cookie会在请求头中保存,应用程序就不会js中操作cookie了,对一些敏感的cookie设置httpOnly,而对常用的则不用设置。
2.服务器端安全:
服务器端的安全相对于客户端来说显的更加的重要,因为服务器端的某个安全漏洞可能带来的是致命的危险。因此我们对服务器端的安全更为的慎重和重视。
sql注入:使用预编译的方法
关闭web服务器的错误回显功能,这样对黑客对返回的错误代码进行分析解密
数据库使用最小的满足需求的账号,不要用最高的权限,而且多个数据库使用不同的账号,使每个数据库都有单独的账号
文件上传的漏洞,
由于系统中有很多上传的功能,黑客上传了可以服务器识别又能执行的服务器命令,这样对服务器的数据很不安全。这样我们可以对文件的后缀名或者格式进行判断,也可以对文件前两个字符进行对比。。(每一种格式前两个都有固定的字符),如果上传的是图片,可以获取响应的高度和宽度,如果有,则说明上传的是图片。
3.认证和会话管理
认证是对密码进行字符的约束,在三次输入密码错误的情况下,需要获取验证码,五次输错的时候,要封锁该用户的ip,在一定时间下解锁或者后台管理员解锁之后才能重新登录。支付密码的时候还需要提供支付密码。
扫一扫
274
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
