网站攻击最常用的两种手段是:SQL注入和webshell攻击。大家对SQL注入防范的意识已经很强了,现在程序中很难再出现这样的漏洞,但是对webshell的攻击方式防范意识很弱,突出表现在网站功能的架构上。以我们开发的系统为例(为安全起见,不详细说明),上传文件存在着很大的漏洞。
在系统架构上如何规避这种情况?
1、可执行脚本的危险文件,一定不能上传。
2、将需要下载而不是浏览器能直接打开的文件,一定不要提供真实的存储地址。
3、最好的方法是,将web应用和上传的任何文件(包括)分开,保持web应用的纯净,而文件的读取可以采用分静态文件解析服务器和web服务器两种服务器分别读取(Apache/Nginx加tomcat等web服务器),或者图片的读取,有程序直接读文件,以流的形式返回到客户端。
本文转载自http://www.oecp.cn/hi/yongtree/blog/2265 更多内容可访问oecp社区
扫一扫
2423
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
