网站建设常见安全漏洞

已于 2023-06-18 20:44:23 修改
阅读量272 收藏 2
点赞数 3
分类专栏: 前端 文章标签: 网络安全 安全 系统安全 web安全 安全威胁分析
于 2023-03-25 21:03:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_51588894/article/details/129772341
版权
文章列举了网站安全的多个重要方面,包括明文传输的密码加密、防止SQL注入、阻止跨站脚本攻击、限制档案上传、避免敏感信息泄露、处理命令执行漏洞、防御CSRF和SSRF攻击以及强化口令安全。建议采取相应的预防措施,如输入验证、加密和使用令牌等,以增强网站的安全性。
摘要由CSDN通过智能技术生成

随着互联网的发展,网络安全问题越来越受到大家重视,如何保障网站的安全问题呢?我们能做的就是在出现问题前做好预防,以下为一些网站建设中常见的安全漏洞:

  1、明文传输

  问题描述:对系统多用户口令保护不足,攻击者可以利用攻击工具,从网络上窃取合法的多用户口令资料。

  修改建议:传输的密码必须加密。

  注意:所有密码要加密。要复杂加密。不要用 base64 或 md5。

  2、sql 注入

  问题描述:攻击者利用 sql 注入漏洞,可以获取资料库中的多种资讯,如:管理后台的密码,从而脱取资料库中的内容(脱库)。

  修改建议:对输入引数进行过滤、校验。采用黑白名单方式。

  注意:过滤、校验要覆盖系统内所有的引数。

  3、跨站指令码攻击

  问题描述:对输入资讯没有进行校验,攻击者可以通过巧妙的方法注入恶意指令代码到网页。这种代码通常是 JavaScript,但实际上,也可以包括 Java、VBScript、ActiveX、Flash 或者普通的 HTML。攻击成功之后,攻击者可以拿到更高的许可权。

  修改建议:对多用户输入进行过滤、校验。输出进行 HTML 实体编码。

  注意:过滤、校验、HTML 实体编码。要覆盖所有引数。

  4、档案上传漏洞

  问题描述:没有对档案上传限制,可能会被上传可执行档案,或指令码档案。进一步导致服务器沦陷。

  修改建议:严格验证上传档案,防止上传 asp、aspx、asa、php、jsp 等危险指令码。同事知名加入档案头验证,防止多用户上传非法档案。

  5、敏感资讯泄露

  问题描述:系统暴露内部资讯,如:网站的绝对路径、网页原始码、SQL 语句、中介软件版本、程序异常等资讯。

  修改建议:对多用户输入的异常字元过滤。遮蔽一些错误回显,如自定义 404、403、500 等。

  6、命令执行漏洞

  问题描述:指令码程序呼叫如 php 的 system、exec、shell_exec 等。

  修改建议:打补丁,对系统内需要执行的命令要严格限制。

  7、CSRF(跨站请求伪造)

  问题描述:使用已经登陆多用户,在不知情的情况下执行某种动作的攻击。

  修改建议:新增 token 验证。时间戳或这图片验证码。

  8、SSRF 漏洞

  问题描述:服务端请求伪造。

  修改建议:打补丁,或者解除安装无用的包

  9、预设口令、弱口令

  问题描述:因为预设口令、弱口令很容易让人猜到。

  修改建议:加强口令强度不适用弱口令

  注意:口令不要出现常见的单词。如:root123456、admin1234、qwer1234、pssw0rd 等。

Leviash
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
网站常见安全漏洞概述
moshengtan的专栏
03-28 6836
网站比较低级的漏洞有:1.SQL注入漏洞;2.XSS跨站脚本攻击漏洞;3.文件上传漏洞;4.目录遍历漏洞;5.admin密码漏洞;6.权限审阅漏洞。 下面就来简单的分析一下各个漏洞内容以及防入侵方法:   一、SQL注入漏洞。 此类漏洞是人人皆知的漏洞,黑客可以利用该漏洞得到管理员的账号和密码,或者直接控制服务器。该漏洞目前在小型网站还比较多,尤其是学校网站里学生建设的一些网站。入侵此类漏
常见网站安全漏洞处理
热门推荐
liudao1991的专栏
08-10 1万+
1. Sql盲注 解决方法:添加过滤 2. Sql注入 解决方法:修改底层代码消除参数化查询 3. iis文件与目录枚举/Directory listing 解决方法:禁止目录浏览 4. webdav目录遍历 解决方法:http://www.45it.com/net/201208/31779.htm 5. _VIEWSTATE未加密 解决...
网站安全漏洞--大全
IT利刃出鞘的博客
05-23 9336
本文介绍网站常见的一些安全漏洞
网站10大常见安全漏洞及解决方案
最新发布
ZL_1618的博客
06-09 935
一般来说牛逼点的地方都会通过安全设备来确保网络环境的安全,所以之前我们也都认为程序员不需要过多的考虑网站安全问题。实际上随着做了几个事业单位的网站之后,也逐渐发现有些方面还是需要程序员注意的。几乎每一个网站后台开发人员都听到的一个词,并且都很敏感,但是不知道是什么原因造成的很多程序员却在实际开发过程中经常忽视这个问题。前段时间部门一位新同事,据说是5年工作经验,在对他的代码做评审时,我们发现所有的DAO层实现都是直接拼接SQL和参数,总监多次提醒他这个问题,但他也没有发现,直到总监说出SQL注入这个词。
网站安全漏洞以及相应的处理办法
luoweiyou的博客
12-11 909
最近做了个政府官网,在后期安全漏洞方面做了很多改进。这里只详细叙述一些因代码而导致的一些漏洞。 1、sql注入 说白了就是在执行查询操作输入了一下sql语句从而导致暴露数据库的一些额外信息。例如输入'or 1=1'这类。如下图所示,这样就会把所有的数据查询出来。 解决办法,如果模块少或者查询少,则在对于的查询方法中在后台做一些处理,如果多的话则写一个过滤器,进行拦截。如下图所示: ...
web安全漏洞与防范小记
A1585570507的博客
01-15 818
what!我的网站出现了莫名广告。。。     最近为了迎合产品和市场的需要,上线了一个基于微信公众号的h5项目,可能运营渠道推广的不错,公众号的粉丝蹭蹭蹭的往上涨,不料,有人羡慕嫉妒恨了[捂脸]。。。     h5的页面上出现了一些低级广告!!!     运营人员开始炸锅了,带着刀枪和证据来到我身边,一手甩过手机,xxx广告亮瞎了我的24K钛金狗眼,看着肩上的‘刀‘和头上的‘抢‘,吓得我灰
网站常见安全漏洞 | 青训营
NEFU AB-IN's Blog
08-26 1064
网站常见安全漏洞 | 青训营
第四军医大学网站建设技术安全规范(2021整理)页.pdf
11-11
【第四军医大学网站建设技术安全规范(2021整理)页.pdf】文档主要涵盖了学校网站在建设过程中应遵循的技术安全要求和配置方法,旨在确保网站的稳定运行和信息安全性。以下是对这些内容的详细解释: 一、技术安全要求...
什么是安全漏洞扫描?
Uguardsec的博客
01-08 2644
从互联网兴起至今,利用漏洞攻击的网络安全事件不断,并且呈日趋严重的态势。每年全球因漏洞导致的经济损失巨大并且在逐年增加,漏洞已经成为危害互联网的罪魁祸首之一,也成了万众瞩目的焦点。安全漏洞扫描是一种针对系统、设备、应用的漏洞进行自动化检测、评估到管理的过程,广泛应用于信息系统安全建设和维护工作,是评估与度量信息系统风险的一种基础手段。 ## 安全漏洞(security hole) 漏洞是在硬件、软件、协议的具体实现或系统安全策略上存在的缺陷,从而可以使攻击者能够在未授权的情况下访问或破坏系统。是受限制的计算
安全漏洞扫描与漏洞管理实践
# 1. 安全漏洞扫描技术概述 ## 1.1 安全漏洞扫描的定义与意义 安全漏洞扫描是指通过自动化工具或...其原理是通过各种漏洞扫描器对目标系统进行全面扫描,发现安全漏洞,通常包括SQL注入、跨站脚本等常见漏洞。 ## 1
TWO DAY | WEB安全之OWASP TOP10漏洞
EverUP
05-15 5866
OWASP:开放式Web应用程序安全项目(Open Web Application SecurityProject),OWASP是一家国际性组织机构,并且是一个开放的、非盈利组织,它致力于协助政府、企业开发、升级各类应用程序以保证其可信任性。所有OWASP的工具、文档、研讨以及所有分会都对任何就应用安全领域感兴趣的人士自由开放。其最具权威的就是“10项最严重的Web应用程序安全风险列表”
学习之sql注入漏洞网址的创建
06-06
学习sql注入,往往需要一个可注入的网址,这篇文章很好的解决了这个问题,我们可以自己创建一个自己用的地址来学习,可以让我们为所欲为。
常见Web安全漏洞深入解析
大河之犬的博客
10-19 4260
在存在可跨站脚本攻击安全漏洞Web应用上执行上面这段JavaScript程序,即可访问到该Web应用所处域名下的Cookie信息。Web应用中的邮件发送功能,攻击者通过向邮件首部To或Subject内任意添加非法内容发起的攻击。并排插入字符串后发送。利用这两个连续的换行就可作出HTTP首部与主体分隔所需的空行了,这样就能显示伪造的主体,达到攻击目的。远程文件包含漏洞是指当部分脚本内容需要从其他文件读入时,攻击者利用指定外部服务器的URL充当依赖文件,让脚本读取之后,就可运行任意脚本的一种攻击。
十大常见web漏洞及防范
z099164的博客
02-20 2092
互联网和Web技术广泛使用,使Web应用安全所面临的挑战日益严峻,Web系统时时刻刻都在遭受各种攻击的威胁,在这种情况下,需要制定一个完整的Web攻击防御解决方案,通过安全Web应用程序、Web服务器软件、Web防攻击设备共同配合,确保整个网站安全。此外 ,Web攻击防御是一个长期持续的工作,随着Web技术的发展和更新,Web攻击手段也不断发展,针对这些最新的安全威胁,需要及时调整Web安全防护策略,确保Web攻击防御的主动性,使Web网站在一个安全的环境中为企业和客户服务。否则,网络流量顺利通过。
[yotroy.cool]自己搭建一个web漏洞练习平台,适合各水平用户使用
Troy_Zhang1112的博客
11-24 2398
前言:学习了一些理论和技能怎么能少了实践呢?自己搭建一个漏洞联系平台吧 ============================================================ 这是我自己搭建的漏洞练习平台(自己弄的空间和域名),先附上地址:https://www.phorg.cn/ 使用的Pikachu漏洞靶场系统,官网我找不到了。。。 Pikachu是一个带有漏洞的Web应用系...
计算机网络安全基础知识3:网站漏洞,安装phpstudy,安装靶场漏洞DVWA,搭建一个网站
weixin_46838716的博客
03-03 542
计算机网络安全基础知识3:网站漏洞,安装phpstudy,安装靶场漏洞DVWA,搭建一个网站
第二三章:搭建漏洞环境及实战与常用的渗透测试工具
RMC131的博客
04-03 762
Burp Suite是一款集成化的渗透测试工具,包含很多功能,基于java编写,跨平台使用更方便,它不是自动化测试工具,需要手动配置参数才能工作。有一点,一定是专业版的Burp Suite。安装基本流程就是:java安装,环境变量配置,双击使用。
网站常见安全漏洞和修改建议
laishaohe的博客
02-24 1307
随着互联网的发展,网络安全问题越来越受到大家重视,一个企业的网站如果出现安全问题,对企业的品牌形象和用户信任度影响非常大,那如何保障网站安全问题呢?我们能做的就是在出现问题前做好预防,今天汕头网站建设小编来分享一些网站建设常见安全漏洞。 1、明文传输问题描述:对系统用户口令保护不足,攻击者可以利用攻击工具,从网络上窃取合法的用户口令数据。修改建议:传输的密码必须加密。注意:所有密码要加密。要...
信息安全测评与漏洞防护技术
本节课程主要介绍了信息安全领域中常见的攻击和漏洞类型,以及相关的防范方法和工具。同时,也介绍了CISP知识体系结构和职业准则等重要知识点。 **典型的攻击和漏洞** 1. **缓冲区溢出攻击**:攻击者可以通过将...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leviash

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值