最近被公司强迫本鸟研究安全,没办法,看了一个月的资料,mark总结下。
| 安全问题 | 解决方案 | 推荐工具 |
| xss跨站脚本攻击 | 1.给关键cookie加上httponly属性,js将无法访问 2.对html标签、css标签、url地址等处用户输入定的关键字符 &,<,> ,",'等进行encode | 1.httponly 2.owasp esapi |
| csrf跨站请求伪造 | 1.验证码 2.referer check,检查请求源是否合法 3.表单token机制,因随机token存在,攻击者无法构造完整url | |
| clickjacking点击劫持 | 禁止跨域的iframe | http头:x-frame-options |
| 注入攻击 | 1.sql使用预编译语句防止sql注入 2.禁用eval(),system()等执行命令函数防止代码注入 3.crlf注入(日志,http头),使用换行符做分隔符的应用处理 | |
| 文件上传漏洞 | 1.文件上传目录设置为不可执行 2.判断文件类型使用白名单,结合mime type、后缀检查;图片文件可以使用压缩函数或resize函数 3.随机数改写文件名和路径 | |
| DDOS分布式拒绝服务 | 1.ip频率,雅虎专利 2.验证码 3.nginx配置 | |
| SSRF服务器端请求伪造 | 1,过滤用户获取的返回信息是否符合标准。 2, 统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态 3,限制请求的端口为http常用的端口,比如,80,443,8080,8090。 4,黑名单内网ip。避免应用被用来获取获取内网数据,攻击内网。 5,禁用不需要的协议。仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp:// 等引起的问题 | |
| 权限管理 水平越权:基于数据 垂直越权:基于角色 | 使用渗透测试工具burpsuite测试 | 渗透测试开源工具:burpsuite |
978
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
