1. 防范XSS漏洞
1.1 漏洞描述
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
1.2 安全风险
获取用户cookie、钓鱼、获取用户页面数据、蠕虫、挂马。
2. 防范SQL注入漏洞
2.1 漏洞描述
所谓SQL注入,就是通过将构造的SQL命令插入到Web表单或URL参数后面进行提交,最终达到欺骗服务器执行恶意的SQL命令的目的。
2.2 安全风险
数据库资料被窃取、修改或者删除,服务器被攻击者控制。
3. 防范CSRF漏洞
3.1 漏洞描述
CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是Cross Site Request Forgery,字面上的意思是跨站点伪造请求。CSRF的定义是强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要的操作行为。
3.2 安全风险
伪造用户请求、修改用户参数、xss蠕虫。
4. 防范表单数据篡改漏洞
4.1 漏洞描述
4.2 安全风险
5. 防范HTTPS页面安全警告问题
5.1 问题描述
5.2 安全风险
6. 防范页面跳转漏洞
6.1 漏洞描述
6.2 安全风险
攻击者通过恶意构造跳转的链接,可以向受害者发起钓鱼攻击。
7. 防范上传漏洞
7.1 漏洞描述
如果页面有上传功能,而后台对上传文件的类型控制不严格,会导致攻击者能够上传恶意文件到网站服务器。
7.2 安全风险
攻击者可以利用上传漏洞,上传恶意文件到服务器,并且远程执行,达到控制网站服务器的目的。