web安全总结

最近被公司强迫本鸟研究安全,没办法,看了一个月的资料,mark总结下。

安全问题解决方案推荐工具
xss跨站脚本攻击1.给关键cookie加上httponly属性,js将无法访问
2.对html标签、css标签、url地址等处用户输入定的关键字符 &,<,> ,",'等进行encode
1.httponly
2.owasp esapi
csrf跨站请求伪造1.验证码
2.referer check,检查请求源是否合法
3.表单token机制,因随机token存在,攻击者无法构造完整url
clickjacking点击劫持禁止跨域的iframehttp头:x-frame-options
注入攻击1.sql使用预编译语句防止sql注入
2.禁用eval(),system()等执行命令函数防止代码注入
3.crlf注入(日志,http头),使用换行符做分隔符的应用处理
文件上传漏洞1.文件上传目录设置为不可执行
2.判断文件类型使用白名单,结合mime type、后缀检查;图片文件可以使用压缩函数或resize函数
3.随机数改写文件名和路径
DDOS分布式拒绝服务1.ip频率,雅虎专利
2.验证码
3.nginx配置
SSRF服务器端请求伪造1,过滤用户获取的返回信息是否符合标准。
2, 统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态
3,限制请求的端口为http常用的端口,比如,80,443,8080,8090。
4,黑名单内网ip。避免应用被用来获取获取内网数据,攻击内网。
5,禁用不需要的协议。仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp:// 等引起的问题
权限管理
水平越权:基于数据
垂直越权:基于角色
使用渗透测试工具burpsuite测试渗透测试开源工具:burpsuite

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值