日常开发工作遇到的安全问题整理

最新推荐文章于 2022-03-10 14:56:18 发布
原创 最新推荐文章于 2022-03-10 14:56:18 发布 · 1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文总结了在日常开发中遇到的安全问题,包括表单数据过滤、PHP安全配置、SQL注入、XSS攻击、API接口安全、账户保护、系统命令执行、文件上传和Cookie与Session的安全设置。提供了一系列防御措施,如参数化查询、输入验证、安全配置选项调整等,以增强Web应用的安全性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

要提供互联网服务,当你在开发代码的时候必须时刻保持安全意识,确保不会因为代码的不确定性而导致服务不安全。

 

为了确保你的web内容安全,需要遵循一些常规的准则:

1、别相信表单,必须过滤所有的表单数据

2、别相信用户,不相信任何用户的行为

3、关闭全局变量,修改php.ini文件,设置register_globals = Off

4、推荐安全配置选项

    register_globals 设置为 off

    safe_mode 设置为 off

    error_reporting 设置为 off。如果出现错误了,这会向用户浏览器发送可见的错误报告信息。对于生产服务器,使用错误日志代替。开发服务器如果在防火墙后面就可以启用错误日志。

    停用这些函数:system()exec()passthru()shell_exec()proc_open()、和popen()

    open_basedir /tmp(以便保存会话信息)目录和web 根目录,以便脚本不能访问这些选定区域外的文件。

    expose_php 设置为 off。该功能会向Apache 头添加包含版本号的PHP 签名。

    allow_url_fopen 设置为 off。如果你能够注意你代码中访问文件的方式-也就是你验证所有输入参数,这并不严格需要。

allow_url_include 设置为 off。对于任何人来说,实在没有明智的理由会想要访问通过HTTP 包含的文件。

 

常见问题防御

 

SQL 注入攻击:

 

描述:

通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令

 

危害:

1、查询数据库敏感信息,导致数据泄露。

2、非法操作数据库,添加、删除、修改服务器数据。

 

防御方法:

1、总是验证所有参数。例如,如果需要一个数字,就要确保它是一个数字。

2、总是对数据使用mysql_real_escape_string()函数转义数据中的任何双引号和单引号。

3、若使用PDO方式操作数据库,使用SQL参数化查询。

   为什么参数化查询能过滤SQL注入呢?

因为prepare ... Execute是分两步执行,pdo会采用模拟的方式来实现,先对数据做quote,然后把结果拼接成sql再执行(第一次传一个sql模板,第二次传查询参数,会把第二步传入的参数只做查询参数处理,不做语义解释,这样注入的条件就算执行了,也不会得到查询结果)。

 

XSS跨站脚本攻击:

 

描述:

恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。

 

危害:

1、盗取用户COOKIE信息。

2、跳转到钓鱼网站。

3、操作受害者的浏览器,查看受害者网页浏览信息等。

4、蠕虫攻击。

防御方法:

1、使用htmlspecialchars 过滤,

2、使用正则表达式过滤特殊字符和函数。

 

API接口安全:

 

描述:第三方直接通过调用接口,恶意刷接口、获取数据。

 

危害:

接口被恶意批量请求(重放攻击)。

恶意遍历接口,获取有价值数据。

 

防范方法:

1、系统层面API接口开启安全校验(即token验证),验证签名和有效时间,防止被爆刷;

业务层面还需要验证参数的合法性,对参数进行sign验证,防止遍历接口导致数据外泄(例如,如果不做参数验证,根据id遍历所有用户订单)。

 

账户安全:

 

描述:

用户或许系统的账号、密码、密钥信息在http传输过程被第三方挟持等情况而泄露,导致系统、用户账号安全问题发生。

 

安全措施:

1、传输过程,账号和密码参数加密传输;

2、数据存储,用户密码、支付key、密钥key等需要加密保存;

3、页面输出,用户相关信息需要加密再输出页面等。

 

系统命令安全:

 

描述:用户提交的参数用于执行系统命令。

解决:

1. 谨慎使用系统命令,对使用系统命令的地方需要进行安全评审

2. 对命令语句进行严格过滤

 

文件上传安全

 

描述:

Web应用程序在处理用户上传的文件时,没有判断文件的扩展名是否在允许的范围内,或者没检测文件内容的合法性,就把文件保存在服务器上,甚至上传脚本木马到web服务器上,直接控制web服务器。

 

情况:

1. 未限制扩展名

2. 未检查文件内容

3. 病毒文件

 

解决方法:

1. 使用安全的,可信任的上传组件。

2. 检查文件扩展名,保证文件的类型正确。

3. 检查文件内容,保证用户不伪造文件类型。

 

cookie安全设置:

解决:

cookie httponly flag:在用到用户名登陆密码之类的安全性比较高的cookie的时候,可以在cookie中设置httponly属性,该属性只允许php等访问cookie,而不允许js访问。

cookie secure fla在涉及到https这样的情况,需要对cookie加密传输,那么可以设置这个属性

 

session安全

1. SESSION是保存在服务器端的,具有比COOKIE一定的安全性。

2. 使用COOKIE的时候,如果长时间没有动作,可以设置一个时间值,来对COOKIE进行过期。

3. 尽量让用户每次的cookie值都是不同的,这样可以保证cookie被盗取也不能长期使用的问题。

 

相关业务问题+系统问题+设计问题整理统计
张彦峰的博客
04-07 171万+
业务系统及其他相关面试问题整理:线上相关问题排查+高并发系统的限流+高并发秒杀系统设计+负载均衡+一个网站有 20 亿 url 存在一个黑名单中,这个黑名单要怎么存?若此时随便输入一个 url,你如何快速判断该 url 是否在这个黑名单中?并且需在给定内存空间(比如:500M)内快速判断出?
6年前端开发整理出的日常开发中碰到的兼容适配问题
发果叁
05-17 1337
前言 这几天看了一下自己以前写的开发笔记,发现自己也从一个初出茅庐只会面向群编程的菜鸟变成在群里给别人解答问题的老鸟了。正好将自己做前端6年以来碰到的一些项目中很常见的兼容适配问题以及解决方案整理出来分享出来,加快大家进阶老鸟的进度。 1.扩大按钮可点击区域 常见于手机端勾选协议按钮,弹框的"x"号,由于按钮设计的较小,用户手指跟屏幕接触的面积较大,用户需要点击多次才能触发事件,体验较差,需要在不改变ui的前提下扩大按钮的点击区域。 解决: 使用伪元素(伪元素相对于父元素定位向四周延展,可以设置为任意尺寸
开发经常遇到的安全处理
06-08
redis是一个key-value存储系统。和Memcached类似,它支持存储的value类型相对更多,包括string(字符串)、list(链表)、set(集合)、zset(sorted set --有序集合)和hash(哈希类型)。这些数据类型都支持push/pop、add/remove及取交集并集和差集及更丰富的操作,而且这些操作都是原子性的。
web大前端开发中一些常见的安全问题
在web前端的道路上,越走越远!
08-27 2万+
1  跨站脚本攻击(XSS攻击)         XSS(Cross Site Scripting),跨站脚本攻击。XSS是常见的Web攻击技术之一.所谓的跨站脚本攻击指得是:恶意攻击者往Web页面里注入恶意Script代码,用户浏览这些网页时,就会执行其中的恶意代码,可对用户进行盗取cookie信息、会话劫持等各种攻击. 解决方案: (1) 输入过滤。永远不要相信用户的输入,对用户输入的数
开发常见安全问题
水巷石子的博客
09-06 2581
用户输入控制 不要相信用户的任何输入 对用户的任何输入进行检查过滤(后端进行检查,或前后端一起) 严格控制用户的输入(如数据类型、数据大小及文件上传格式等) 对于来自非可信的跨域请求应进行拒绝 对于敏感的操作(代码执行、文件操作等)不要和用户的输入相关,应由开发人员定义好,用户仅通过参数调用定义好的语句 访问及权限控制 遵循最小授权原则 对于用户的权限的验证应发生在任何非公共资源的访问过程中 用户登出时应及时清理会话等信息 对访问的方式进行控制,如不使用PUT、DELETE等请求方法时,应禁止相
开发中一些常见的安全问题
diaobuwei1238的博客
03-31 913
1 跨站脚本攻击(XSS攻击) XSS(Cross Site Scripting),跨站脚本攻击。XSS是常见的Web攻击技术之一.所谓的跨站脚本攻击指得是:恶意攻击者往Web页面里注入恶意Script代码,用户浏览这些网页时,就会执行其中的恶意代码,可对用户进行盗取cookie信息、会话劫持等各种攻击.解决方案:(1) 输入过滤。永远不要相信用户的输入,对用户输入的数据...
实际开发工作中遇到的问题总结
smileKutper的博客
05-20 1637
工作中遇到的问题总结   面试的时候经常会问,讲讲你在工作中遇到的问题,对于没有经验的人来说确实不知道说哪些,我在此把自己遇到的问题写下来,给自己做一下总结,也给大家做一些参考。 1、Mybatis的配置文件xml中,配置了重复的命名空间 经常在新增dao接口之后,把之前的xml文件拷贝过来改一改,但是有一次忘记改nameplace这个标签了,导致出现了问题问题描述: 在启动项目的时候,控制台会一直打印下面的信息,项目永远不会启动,因为不报错所以很难发现问题所在。 [DEBUG] 2020-05-2.
微信小程序日常开发中常遇到的错误代码
03-29
开发过程中,会遇到很多微信返回的状态码,鬼知道代表什么意思,现在好了,整理总结了一份状态码,方便大家。 微信小程序错误码参考   (此图片来源于网络,如有侵权,请联系删除! )(此图片来源于网络,如有侵权,...
记录日常工作中遇到的问题,前端学习笔记,奇淫技巧、面试真题等,长期更新.zip
最新发布
03-16
在前端开发的学习与实践中,经常会遇到各种挑战和问题,这些挑战不仅锻炼了我们的技术能力,也为面试准备提供了宝贵的素材。本篇文章将从“面试经验”这一主题出发,结合压缩包内的资源,分享一些前端开发中常见的...
日常开发Guava提效工具库核心实用指南梳理
热门推荐
张彦峰的博客
07-28 5万+
主要针对平时开发中最常用的guava操作做基本的操作总结,并不完善,只整理平时使用较多的地方!
开发常见问题汇总
cheng的博客
10-31 867
1、git的问题 在团队开发中使用git作为项目的版本管理和团队协作的工具,避免不了会出现问题。在我们的项目中,由于idea整合了git,所以,配置idea即可使用git。具体配置是在:File–>settings–>Git中,配置电脑的git的执行目录即可使用。 做完你的任务,首先需要将你的文件commit,提交到本地服务器,然后再git pull,拉最新的项目,再git push ,将本地结合刚才拉下来的最新文件一同上传,如果,不先git pull,再git push,则会将本地的项目覆盖远
web前端开发中的安全问题
crli的博客
03-11 6527
跨站脚本攻击(XSS攻击) 恶意攻击者往Web页面里注入恶意Script代码,用户浏览这些网页时,就会执行其中的恶意代码,可对用户进行盗取cookie信息、会话劫持等各种攻击. 解决方案: 1. 输入过滤,输入符合预期的格式的数据,比如图片上传,设置accept属性,或者只能输入字母或者日期格式等,同时后台对前台输入的数据也应该做编码或转义来防范XSS攻击。 2.对所有要动态输出到页面的...
Web开发安全问题简单汇总
Len Zhou的专栏
10-10 814
Web开发安全问题简单汇总本人以Javaweb开发为例简单总结开发过程中可能遇到或者必须要注意的安全性相关问题 问题清单: 一、身份鉴别 1.用户身份鉴别,包括正确区分用户身份、鉴别失败处理、会话鉴别、角色鉴别; 2.弱口令,口令长度、口令组合规则、口令加密传输比对; 3.访问控制,访问控制策略; 二、日志记录与审计 1.数据库操作记录日志; 2
web开发常见安全问题
atree1987的专栏
04-18 3937
xss注入 概念XSS又叫CSS(Cross Site Script),跨站脚本攻击。指的是恶意攻击者往web页面里插入恶意脚本代码,而程序对于用户输入内容没有过滤,当用户浏览时,嵌入的脚本代码被执行,达到恶意攻击用户的目的。 分类XSS漏洞可分为反射型XSS和存储型XSS。反射型XSS是直接将恶意代码的执行结果反射给浏览器,而存储型XSS是将恶意代码存储在服务器端,再输出给前端页面。任何用户访问该
android开发中遇到的安全问题
keke8021
03-25 1025
本文是自己在开发过程中,app上线前的安全检测遇到的问题,以便及时汇总记录下来.参考链接:http://drops.wooyun.org/tips/3936 http://www.360doc.com/content/15/0320/19/15077656_456766941.shtml http://blog.claudxiao.net/2013/03/android-webview-cach
开发过程中可能遇到的问题
fengyifanjin的博客
03-10 448
@JsonCreator @JsonEnumDefaultValue 的作用
问题:解决在项目过程中出现的安全问题
People of solitary
02-27 325
一、问题描述 在spring boot项目开发中引入另外一个服务的接口,导致本项目所有的接口都无法访问,访问URL自动跳转为/error(如下图最后一行)。    项目运行中会跳出如下的一串安全验证码(如下中间行): ![在这里插入图片描述](https://img-blog.csdnimg.cn/20190227170839935.png 二、解决方法 添加对应的pom依赖,但是需要在包里边引用...
项目开发中常见安全问题防范
codeSmart的博客
06-12 1104
背景 随着计算机网络技术的快速发展,Web应用技术在各个领域都得到了广泛的应用,但是由于不法分子针对Web应用程序相关安全漏洞的挖掘利用及恶意攻击手段的层出不穷,而与此同时国内Web应用开发人员水平参差不齐,很多开发人员安全意识淡薄,导致Web应用存在各种各样的安全漏洞,使得Web应用程序在给用户提供简便、快捷服务的同时,用户不得不为其自身可能存在的Web安全问题而担忧。主要针对Web项目中常见的安全问题进行深入的研究与分析,并对提出的各种安全问题给出了一些有效的解决方案。 安全常见问题及防范 1.输入检查
日常开发问题随手记录手册
资源摘要信息:"在日常开发项目中,开发人员常常会遇到各种各样的问题。...压缩包子文件的文件名称列表为"notes-main",这暗示了文件内容是关于日常开发中遇到问题的笔记整理,具体细节由于没有文件内容无法进一步详述。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值