网页安全漏洞注意事项

最新推荐文章于 2022-04-07 23:21:23 发布
最新推荐文章于 2022-04-07 23:21:23 发布
阅读量310 收藏
点赞数
分类专栏: java编程 前端编程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/locat_csdn/article/details/83900320
版权

管理平台的安全对一个系统来说很重要,为了防止黑客攻击,需要注意一下问题:

1.访问链接注入问题,此种问题的特点是,不法分子通过修改访问链接达到某些目的,比如盗取用户cookie.

解决办法是:过滤访问链接中的特殊字符,如果访问链接中包含如下非法字符则阻止其访问.

;  '  "  <>  ()  ,  \  script  svg  alert  confirm  prompt  onload  onmouseover  onfocus  onerror  xss

2.普通用户登录后,通过修改cookie就可以做一些超级管理员才能做的操作.

解决办法是:增加cookie认证.

3.csrf跨站请求伪造问题.

解决办法:增加referer校验

String referer = ((FilterInvocation) obj).getHttpRequest().getHeader("referer");
log.info("请求来源:{}",referer);
if (!referer.contains(EncryptPropertyPlaceholderConfigurer.getStrPro(Constant.HOST_URL))) {
    log.info("请求来自非信任网站,拒绝访问:{},referer:{}",FullRequestUrl,referer);
    returnCollection.add(new SecurityConfig("ROLE_NO_USER"));
    return returnCollection;
}

Constant.HOST_URL值为网站的访问域名,比如你在baidu网页上打开taobao网页,请求到后台的referer就是:http://www.baidu.com,

一般设置为管理平台的访问域名即可.

4.密码加密传输

详见博文:https://blog.csdn.net/locat_csdn/article/details/86071805

5.密码爆破问题(暴力破解)

增加密码输入错误次数统计及限制即可.

 

locat_csdn
关注
专栏目录
网络安全注意事项.doc
07-09
以下是一些关于网络安全的注意事项,分为几个主要部分进行详细说明: **系统安全** 1. **保持系统更新**:确保Windows操作系统设置为自动更新,以获取最新的安全补丁和功能增强。定期检查并安装系统更新,这有助于...
php关于网站安全的一些注意事项
otorain的博客
12-29 702
上传文件时,不要相信浏览器提供的文件名, 对文件名进行判断,过滤或hash 不要将网站文件放在网站根目录下,放在系统的其他目录下 对请求的数据进行过滤 对请求的数据进行转义,使用html实体转义函数 htmlentities($content, ENT_QUOTES, ‘UTF-8’) ,这样可以防止xss攻击,具体xss攻击请查自行google或百度 使用PDO连接数据库并使用预编译绑定参数的
网页上的一些安全漏洞攻击的了解
bruscar的专栏
09-07 674
XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。 (跨站脚本攻击(也称为XSS)指利用网站漏洞从用户那里恶意盗取信息。) 1.1 什么是XSS攻击 经常会用到web脚本的漏洞上面,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。 包括:h
Web安全漏洞笔记整合
LYSM
04-12 885
高危漏洞 1.Struts2代码执行漏洞:struts2就是一个框架,在使用基于Jakarta插件的文件上传功能时,有可能存在远程命令执行,恶意用户可在上传文件时通过修改HTTP请求头中的Content-Type值来触发该漏洞,进而执行系统命令 Jakarta插件:一个开源项目,包括Tomcat、Struts等 HTTP请求头:比如浏览器向服务器发送请求时,必须声明请求类型,这个请求类型就包含在...
网站安全防范应注意哪些?
最闲的码农
10-28 681
1:SQL 注入 引起原因: 其实现在很多网站中都存在这种问题。就是程序中直接进行SQL语句拼接。可能有些人都不太明白。例如用户在登录时: code:      验证时的sql语句: select * from user where user='$user' and pwd='$pwd' 这是一段从数据库中查询用户,对用户名,密码验证。 看上去好象没有什么问题,但是实际这里面浅藏着问题
漏洞扫描常识总结
gududeajun的博客
12-07 4234
漏洞扫描器的强弱主要在那些方面 爬行能力、误报率、漏洞库 在项目上,漏洞扫描需要注意那些事项 跟客户确认是否充许登录扫描、扫描并发连接数及线程数、是否充许暴力破确,什么时间扫描、通知客户备份一下数据,开启业务系统及网站运维监控,以免断机可及时恢复。
网络安全注意事项(1).doc
07-09
以下是一些关键的网络安全注意事项: 1、系统安全: - 自动更新:保持Windows系统的最新状态,启用自动更新功能,确保系统能够接收到微软发布的安全补丁和性能改进。 - 安装补丁:定期检查并安装系统更新,以修补...
推荐下载:网站建设合同注意事项有哪些?.doc
11-28
网站建设合同注意事项有哪些? 网站建设合同是网站建设过程中不可或缺的一部分,它规定了网站建设的权利、义务和责任。但是,在签订网站建设合同之前,需要注意哪些事项?下面对网站建设合同注意事项进行详细的解释...
一句话木马要点和防范注意事项
最新发布
05-24
"一句话木马",顾名思义,是指利用简短的代码实现的恶意程序,它通常隐藏在网页、脚本或者其他可执行文件中,通过Web服务的漏洞进行植入,以达到远程控制或非法获取服务器权限的目的。这类木马因为其简洁高效的特点...
js拼接html字符串的注意事项
10-21
这样做可能不小心引入了恶意代码,导致安全漏洞。例如,不要将用户输入直接拼接进HTML字符串中,应该对用户输入进行严格的清理和验证。 5. 性能问题 大量使用JavaScript拼接HTML字符串并插入到DOM中可能会导致页面...
网站渗透测试之常见漏洞排行
网站安全专家
01-07 1441
我们SINE安全在进行Web渗透测试中网站漏洞利用率最高的前五个漏洞。常见漏洞包括注入漏洞、文件上传漏洞、文件包含漏洞、命令执行漏洞、代码执行漏洞、跨站点脚本(XSS)漏洞、SSRF漏洞、XML外部实体(XXE)漏洞、反序列化漏洞、解析漏洞等。,因为这些安全漏洞可能被黑客利用,从而影响业务。以下每一条路线都是一种安全风险。黑客可以通过一系列的攻击手段发现目标的安全弱点。如果安全漏洞被成功利用,目标将被黑客控制,威胁目标资产或正常功能的使用,最终导致业务受到影响。 常见的WebTOP5漏洞描述如下.
提交漏洞报告的细节和利用
weixin_40418457的博客
05-19 650
细节 昨天在后台收到了几个漏洞报告,忍不住吐槽一下,其中一篇写了可以SSRF访问内网Jenkins,虽然SSRF漏洞确实是存在的,可是人家的Jenkins 在外网就可以访问到!!!直接输入Jenkins.XXX.COM就可以访问到!! 还有同样的服务,同样的SSRF造成的危害是不一样的,比如下边两个SSRF都可以访问阿里云元数据,但是一个服务器配置了RAM,另一个没有配RAM,那么造成影响也是不一样的。 ​
漏洞利用原理(初级)
wk19951125的博客
08-13 932
堆溢出利用堆的工作原理Windows堆的历史堆与栈的区别堆的数据结构与管理策略在堆中漫游堆分配函数之间的调用关系 堆的工作原理 Windows堆的历史 微软操作系统堆管理机制的发展大致可以分为三个阶段(Win32): Windows 2000~Windows XP SP1:堆管理只考虑完成分配任务和性能因素,丝毫没有考虑安全因素 Windows XP 2~Windows 2003:加入了安全因素...
【漏洞利用总结与解决方案】
YiWei2019的博客
04-07 1441
漏洞利用总结与解决方案0x01 漏洞总结0x02 解决方案 0x01 漏洞总结 漏洞利用方式,在我看来无外乎五种: 其一,修改下一个函数执行地址为目标函数地址,如堆栈溢出、UAF、%n、数组越界、整数溢出 其二,读取堆栈空间数据信息。如格式化字符、堆栈溢出、数组越界、整数溢出 其三,语句注入,如SQL注入、XSS注入 其四,程序异常 其五,伪装用户或服务,如跨站攻击、劫持、欺骗 0x02 解决方案 其一,保持良好的安全编码习惯,可参考华为,阿里等大公司的安全编码规范 其二,参数特殊字符过滤,语句预处理 其三
网络安全主要的安全漏洞及防御
qq_31204765的博客
08-11 1164
1.跨站脚本攻击(Cross Site Scripting),恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的特殊目的。 exp:参数中带有<script>alert('121')</script>,这样到页面中就会执行。 防御:配置过滤器,检查所有的请求参数中有没有恶意的scri...
Web站点常见安全问题
Tian
02-06 5915
Web站点常见安全问题类型
什么是 XSS 攻击,如何避免
syilt的博客
05-29 2918
XSS 攻击:即跨站脚本攻击,它是 Web 程序中常见的漏洞。原理是攻击者往 Web 页面里插入恶意的脚本代码(css 代码、Javascript 代码等),当用户浏览该页面时,嵌入其中的脚本代码会被执行,从而达到恶意攻击用户的目的,如盗取用户 cookie、破坏页面结构、重定向到其他网站等。 预防 XSS 的核心是必须对输入的数据做过滤处理。 下面是XssFilter的代码: impo...
看《网络安全漏洞的罪与罚》有感
阿牛——做专业的专家工程师
06-08 2333
看《网络安全漏洞的罪与罚》有感 当前是一个人类的信息化高速发展的时代,人类正从今天的“物联网”(IoT:internet of things)走入“万物互联”(IoE:internetof Everything)的时代。 所有的东西将被感知,计算处理能力和感应能力将更加强大。给人类带来便利的同时,也带来的各种前所未有安全隐患。手机、网络世界、监控设备、各种身份登记,使得人类处于一个全天候的信息
提升Web应用安全:防范SQL注入与XSS攻击策略
Web应用代码安全编写注意事项 在构建Web应用时,确保代码安全至关重要,这涉及到防止SQL注入、跨站脚本攻击以及其他潜在的安全风险。以下是几个关键领域及其防范措施: 1. SQL注入:当应用模块使用用户输入构造SQL...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值