随着互联网的发展,大家对网络的安全问题越来越重视。如果一个企业的网站出现了安全问题,那么不仅会影响企业的形象,还会影响用户对企业的信任度。因此,我们在南昌网站建设初期就应该做好网站的安全预防工作。那么今天百恒网络就来和大家分享一下网站建设中常见的一些安全漏洞问题,希望能够帮到大家。
1、明文传输
描述:对系统用户口令保护不足,攻击者可以利用攻击工具,从网络上窃取合法的用户口令数据。
解决方法:传输的密码必须加密,要复杂加密,不要用base64或md5。
2、sql注入
描述:攻击者利用sql注入漏洞,可以获取数据库中的多种信息,如:管理后台的密码,从而脱取数据库中的内容。
解决方法:对输入参数进行过滤、校验,采用黑白名单方式,过滤、校验要覆盖系统内所有的参数。
3、跨站脚本攻击
描述:对输入信息没有进行校验,攻击者可以通过巧妙的方法注入恶意指令代码到网页。这种代码通常是JavaScript,但实际上,也可以包括Java、VBScript、ActiveX、Flash 或者普通的HTML。攻击成功之后,攻击者可以拿到更高的权限。
解决方法:对用户输入进行过滤、校验,输出进行HTML实体编码。
4、文件上传漏洞
描述:没有对文件上传限制,可能会被上传可执行文件,或脚本文件。进一步导致服务器沦陷。
解决方法:严格验证上传文件,防止上传asp、aspx、asa、php、jsp等危险脚本。同时,建议加入文件头验证,防止用户上传非法文件。
5、敏感信息泄露
描述:系统暴露内部信息,如:网站的绝对路径、网页源代码、SQL语句、中间件版本、程序异常等信息。
解决方法:对用户输入的异常字符过滤,屏蔽一些错误回显,如自定义404、403、500等。
6、命令执行漏洞
描述:脚本程序调用如php 的 system、exec、shell_exec等。
解决方法:打补丁,对系统内需要执行的命令要严格限制。
7、CSRF(跨站请求伪造)
描述:使用已经登陆用户,在不知情的情况下执行某种动作的攻击。
解决方法:添加token验证。时间戳或这图片验证码。
8、任意文件包含、任意文件下载
描述:任意文件包含,系统对传入的文件名没有合理的校验,从而操作了预想之外的文件。任意文件下载,系统提供了下载功能,却未对下载文件名进行限制。
解决方法:对用户提交的文件名限制。防止恶意的文件读取、下载。
9、XML实体注入
描述:当允许引用外部实体是,通过构造恶意内容,可导致读取任意文件、执行系统命令、探测内网端口等等。
解决方法:使用开发语言提供的禁用外部实体方法,过滤用户提交的XML数据。
10、不安全的cookies
描述:cookies中包含用户名或密码等敏感信息。
解决方法:去掉cookies中的用户名,密码。
11、SSRF漏洞
描述:服务端请求伪造。
解决方法:打补丁,或者卸载无用的包。
在南昌网站建设中,除了以上几种安全漏洞外,其实常见的安全漏洞还有很多。但由于时间关系,百恒网络在此就不一一介绍了。了解更多这方面的资讯,欢迎来电和我们联系。
十三年专注于网站建设与互联网应用开发,低调、有情怀的网络应用服务商!
全国服务热线:400-680-9298,0791-88117053 
赣公网安备 36010202000052号
售前咨询