网站建设常见安全漏洞

原创 已于 2023-06-18 20:44:23 修改 · 457 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全 #安全 #系统安全 #web安全 #安全威胁分析

于 2023-03-25 21:03:55 首次发布
文章列举了网站安全的多个重要方面,包括明文传输的密码加密、防止SQL注入、阻止跨站脚本攻击、限制档案上传、避免敏感信息泄露、处理命令执行漏洞、防御CSRF和SSRF攻击以及强化口令安全。建议采取相应的预防措施,如输入验证、加密和使用令牌等,以增强网站的安全性。

随着互联网的发展,网络安全问题越来越受到大家重视,如何保障网站的安全问题呢?我们能做的就是在出现问题前做好预防,以下为一些网站建设中常见的安全漏洞:

  1、明文传输

  问题描述:对系统多用户口令保护不足,攻击者可以利用攻击工具,从网络上窃取合法的多用户口令资料。

  修改建议:传输的密码必须加密。

  注意:所有密码要加密。要复杂加密。不要用 base64 或 md5。

  2、sql 注入

  问题描述:攻击者利用 sql 注入漏洞,可以获取资料库中的多种资讯,如:管理后台的密码,从而脱取资料库中的内容(脱库)。

  修改建议:对输入引数进行过滤、校验。采用黑白名单方式。

  注意:过滤、校验要覆盖系统内所有的引数。

  3、跨站指令码攻击

  问题描述:对输入资讯没有进行校验,攻击者可以通过巧妙的方法注入恶意指令代码到网页。这种代码通常是 JavaScript,但实际上,也可以包括 Java、VBScript、ActiveX、Flash 或者普通的 HTML。攻击成功之后,攻击者可以拿到更高的许可权。

  修改建议:对多用户输入进行过滤、校验。输出进行 HTML 实体编码。

  注意:过滤、校验、HTML 实体编码。要覆盖所有引数。

  4、档案上传漏洞

  问题描述:没有对档案上传限制,可能会被上传可执行档案,或指令码档案。进一步导致服务器沦陷。

  修改建议:严格验证上传档案,防止上传 asp、aspx、asa、php、jsp 等危险指令码。同事知名加入档案头验证,防止多用户上传非法档案。

  5、敏感资讯泄露

  问题描述:系统暴露内部资讯,如:网站的绝对路径、网页原始码、SQL 语句、中介软件版本、程序异常等资讯。

  修改建议:对多用户输入的异常字元过滤。遮蔽一些错误回显,如自定义 404、403、500 等。

  6、命令执行漏洞

  问题描述:指令码程序呼叫如 php 的 system、exec、sh

最低0.47元/天 解锁文章
网站常见安全漏洞概述
moshengtan的专栏
03-28 6951
网站比较低级的漏洞有:1.SQL注入漏洞;2.XSS跨站脚本攻击漏洞;3.文件上传漏洞;4.目录遍历漏洞;5.admin密码漏洞;6.权限审阅漏洞。 下面就来简单的分析一下各个漏洞内容以及防入侵方法:   一、SQL注入漏洞。 此类漏洞是人人皆知的漏洞,黑客可以利用该漏洞得到管理员的账号和密码,或者直接控制服务器。该漏洞目前在小型网站还比较多,尤其是学校网站里学生建设的一些网站。入侵此类漏
网络安全漏洞检测与恢复技术研究
niederhoge的博客
07-21 1615
2.1网络安全漏洞的定义与分类网络安全漏洞,简单来说,是指在信息系统的硬件、软件、协议等方面存在的可能被攻击者利用的缺陷或弱点。从更具体的角度来理解,网络安全漏洞意味着系统在设计、实现、配置或运行管理等环节出现了瑕疵,使得攻击者能够突破系统的正常防护机制,获取未经授权的访问、篡改数据、破坏系统功能等。这些漏洞可能存在于操作系统、应用软件、网络设备、数据库等各个层面。网络安全漏洞可以进行多种分类。一种常见的分类方式是根据漏洞产生的原因。
网站10大常见安全漏洞及解决方案
weixin_43365685的博客
10-10 1447
一般来说牛逼点的地方都会通过安全设备来确保网络环境的安全,所以之前我们也都认为程序员不需要过多的考虑网站安全问题。实际上随着做了几个事业单位的网站之后,也逐渐发现有些方面还是需要程序员注意的。 SQL注入 安全等级★★★★★ 几乎每一个网站后台开发人员都听到的一个词,并且都很敏感,但是不知道是什么原因造成的很多程序员却在实际开发过程中经常忽视这个问题。前段时间部门一位新同事,据说是5年工作经验,在对他的代码做评审时,我们发现所有的DAO层实现都是直接拼接SQL和参数,总监多次提醒他这个问题,但他也没有发
网站安全漏洞--大全
IT利刃出鞘的博客
05-23 9789
本文介绍网站常见的一些安全漏洞
网站安全漏洞以及相应的处理办法
luoweiyou的博客
12-11 1059
最近做了个政府官网,在后期安全漏洞方面做了很多改进。这里只详细叙述一些因代码而导致的一些漏洞。 1、sql注入 说白了就是在执行查询操作输入了一下sql语句从而导致暴露数据库的一些额外信息。例如输入'or 1=1'这类。如下图所示,这样就会把所有的数据查询出来。 解决办法,如果模块少或者查询少,则在对于的查询方法中在后台做一些处理,如果多的话则写一个过滤器,进行拦截。如下图所示: ...
web安全漏洞与防范小记
A1585570507的博客
01-15 928
what!我的网站出现了莫名广告。。。     最近为了迎合产品和市场的需要,上线了一个基于微信公众号的h5项目,可能运营渠道推广的不错,公众号的粉丝蹭蹭蹭的往上涨,不料,有人羡慕嫉妒恨了[捂脸]。。。     h5的页面上出现了一些低级广告!!!     运营人员开始炸锅了,带着刀枪和证据来到我身边,一手甩过手机,xxx广告亮瞎了我的24K钛金狗眼,看着肩上的‘刀‘和头上的‘抢‘,吓得我灰
软件安全基础:预防常见安全漏洞和攻击的黄金法则
[软件安全基础:预防常见安全漏洞和攻击的黄金法则](https://img-blog.csdnimg.cn/df2e2c894bea4eb992e5a9b615d79307.png) # 1. 软件安全概述 软件安全是确保计算机程序和系统在运行过程中抵御外部威胁、防止数据...
【第13章】网络安全漏洞防护技术原理与应用(信息安全工程师 )-- 软考笔记
weixin_65034883的博客
10-08 2284
网络安全漏洞又称为脆弱性,简称漏洞漏洞一般是致使网络信息系统安全策略相冲突的缺陷,这种缺陷通常称为安全隐患。安全漏洞的影响主要有机密性受损、完整性破坏、可用性降低、抗抵赖性缺失、可控制性下降、真实性不保等。根据已经公开的漏洞信息,网络信息系统的硬件层、软硬协同层、系统层、网络层、数据层、应用层、业务层、人机交互层都已被发现存在安全漏洞
网站常见安全漏洞 | 青训营
NEFU AB-IN's Blog
08-26 1220
网站常见安全漏洞 | 青训营
十二个常见Web安全漏洞总结及防范措施
m0_59598029的博客
11-24 1428
本篇文章部分摘要自《OWASP Top 10 2017》。OWASP,开放式Web应用程序安全项目(Open Web Application Security Project)是一个组织,它提供有关计算机和互联网应用程序的公正、实际、有成本效益的信息。其目的是协助个人、企业和机构来发现和使用可信赖软件。
学习之sql注入漏洞网址的创建
06-06
学习sql注入,往往需要一个可注入的网址,这篇文章很好的解决了这个问题,我们可以自己创建一个自己用的地址来学习,可以让我们为所欲为。
十大常见web漏洞及防范
z099164的博客
02-20 2947
互联网和Web技术广泛使用,使Web应用安全所面临的挑战日益严峻,Web系统时时刻刻都在遭受各种攻击的威胁,在这种情况下,需要制定一个完整的Web攻击防御解决方案,通过安全Web应用程序、Web服务器软件、Web防攻击设备共同配合,确保整个网站的安全。此外 ,Web攻击防御是一个长期持续的工作,随着Web技术的发展和更新,Web攻击手段也不断发展,针对这些最新的安全威胁,需要及时调整Web安全防护策略,确保Web攻击防御的主动性,使Web网站在一个安全的环境中为企业和客户服务。否则,网络流量顺利通过。
网络安全常见十大漏洞总结(原理、危害、防御)
yy1715713348的博客
08-19 1278
为了帮助大家更好的学习网络安全,小编给大家准备了一份网络安全入门/进阶学习资料,里面的内容都是适合零基础小白的笔记和资料,不懂编程也能听懂、看懂,所有资料共282G,朋友们如果有需要全套网络安全入门+进阶学习资源包,扫二v码,那么你也可点击这里👉优快云大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享。
网络安全安全常见十大漏洞(原理+防御措施)
最新发布
2301_79455190的博客
07-25 840
只允许访问特定的、已知安全的域名/IP地址列表 禁止访问内网IP段(10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 127.0.0.0/8, 169.254.0.0/16)、localhost、敏感域名(如云元数据地址169.254.169.254) 禁用危险协议: 只允许http(s)协议,禁用file://, gopher://, dict://, ftp://等。当用户登录一个网站后,网站会认为来自该用户浏览器的请求都是经过用户授权的合法操作。
[yotroy.cool]自己搭建一个web漏洞练习平台,适合各水平用户使用
Troy_Zhang1112的博客
11-24 2661
前言:学习了一些理论和技能怎么能少了实践呢?自己搭建一个漏洞联系平台吧 ============================================================ 这是我自己搭建的漏洞练习平台(自己弄的空间和域名),先附上地址:https://www.phorg.cn/ 使用的Pikachu漏洞靶场系统,官网我找不到了。。。 Pikachu是一个带有漏洞Web应用系...
常见web漏洞及其防范
Mini_小仙女的博客
09-11 1323
十大常见web漏洞 一、SQL注入漏洞 SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。 通常情况下,SQL注入的位置包括: (1)表单提交,主要是POST请求,也包括GET请求; (2)URL参数提交,主要
计算机网络安全基础知识3:网站漏洞,安装phpstudy,安装靶场漏洞DVWA,搭建一个网站
weixin_46838716的博客
03-03 675
计算机网络安全基础知识3:网站漏洞,安装phpstudy,安装靶场漏洞DVWA,搭建一个网站
第二三章:搭建漏洞环境及实战与常用的渗透测试工具
RMC131的博客
04-03 1074
Burp Suite是一款集成化的渗透测试工具,包含很多功能,基于java编写,跨平台使用更方便,它不是自动化测试工具,需要手动配置参数才能工作。有一点,一定是专业版的Burp Suite。安装基本流程就是:java安装,环境变量配置,双击使用。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Leviash

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值