-
跨站脚本(XSS)漏洞
对参数做 html 转义过滤,要过滤的字符包括:单引号、双引号、大于号、小于号,& 符号,防止脚本执行。 在变量输出时进行 HTML ENCODE 处理
- CSRF 漏洞
CSRF漏洞修复方案主要思路有两类: 验证请求是信任页面发起,这类修复方案有: 在表单中填充一次性随机的 csrf token 防止攻击者伪造 form 表单进行 CSRF。同时将此串 token 置入 session,在后端再进行一次一致性校验。 referer 验证。 验证请求是合法用户发起,这类修复方案有: 验证码 密码验证 OTP 验证
- HTTP Header 注入漏洞 对参数做合法性校验以及长度限制,谨慎的根据用户所传入参数做 HTTP 响应的 Header 设置。在设置 HTTP 响应头时,过滤回车换行
%0d%0a、%0D%0A
字符。 - 目录遍历漏洞 目录限制再加权限限制
- SQL 注入漏洞 参数化的语句使用参数而不是将用户输入变量嵌入到 SQL 语句中
- 文件下载漏洞 限制可下载文件所在的目录为预期范围。
- 文件上传漏洞 对上传文件的大小和类型进行校验,定义上传文件类型白名单 保存上传文件的目录不提供直接访问
常见安全漏洞及修复方案
最新推荐文章于 2024-04-16 16:35:14 发布