网站安全防范应注意哪些?

最新推荐文章于 2022-09-01 17:37:00 发布
原创 最新推荐文章于 2022-09-01 17:37:00 发布 · 737 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #安全 #sql

1:SQL 注入

引起原因:
其实现在很多网站中都存在这种问题。就是程序中直接进行SQL语句拼接。可能有些人都不太明白。例如用户在登录时:
code:
     验证时的sql语句: select * from user where user='$user' and pwd='$pwd'
这是一段从数据库中查询用户,对用户名,密码验证。
看上去好象没有什么问题,但是实际这里面浅藏着问题,用户名:张三 密码: zhangsan,
select * from  user  where user='张三' and pwd='zhangsan'
如果用户和密码正确就可通验证。如果我用户名:asdf' or 1=1 -- 密码:随意输入.
我们再来看语句:
select * from  user  where user=‘asdf' or 1=1 -- and pwd=''
执行后看到什么?是不是所有记录,如果程序只是简单判断返回的条数,这种方法就可以通验证。
如果执行语句是SA用户,再通过xp_cmdshell添加系统管理员,那么这个服务器就被拿下了。
解决方法:
(1):这个问题主要是由于传入特殊字符引起的我们可以在对输入的用户名密码进入过滤特殊字符处理。
(2):使用存储过程通过传入参数的方法可解决此类问题(注意:在存储过程中不可使用拼接实现,不然和没用存储过和是一样的)。

2:XSS(跨站脚本攻击)

引起原因:
这个也有时被人们称作HTML注入,和sql注入原理相似,也是没有特殊字符进行处理。是用户可以提交HTML标签对网站进行重新的构造。其实在默认的情况下在asp.net网页中是开启validateRequest属性的,所有HTML标签后会.NET都会验证:

但这样直接把异常抛给用户,多少用户体验就不好。
解决方法:
(1):通过在 Page 指令或 配置节中设置 validateRequest=false 禁用请求验证,然后我们对用户提交的数据进行HtmlEncode,编码后的就不会出现这种问题了(ASP.NET 中编码方法:Server.HtmlEncode(string))。
(2):第二种是过滤特殊字符,这种方法就不太提倡了,如果用户想输入小于号(<)也会被过滤掉.

3:CSRF(跨站点请求伪造)
引起原因:个人认为csrf在Ajax盛行的今天来说,倒是方便了,因为它可以在你不知道的情况用你的通过验证用户进行操作,所以也被称为浏览器劫持。如果你已通过某个网站的验证那么你将以你的角色对网站进行操作,比如你是管理员可以添加其它的用户到管理组,但是如果有人构造了添加管理员的链接被管理员点后也会执行相应操作.具体原因可参考lake2写的文章http://blog.youkuaiyun.com/lake2/archive/2008/04/02/2245754.aspx
解决方法:
在lake2的文章中也提出了。就是修改信息时添加验证码。或添加Session令牌(ASP.NET中已经提供一个自动防范的方法,就是用页面属性ViewStateUserKey.在Page_Init方法中设置其值。this.ViewStateUserKey=Session.SessionID)。
4:文件上传
引起原因:
      如果你的网站使用的是在线编辑器,如FCKEditor,eWeb等等,如果没有处理好文件上传,那么上线后网站会很快的被篡改

安全技术有什么特点?云安全包含哪些方面?
Jack章臣的博客
02-22 1万+
1. 概述 随着云计算逐渐成为主流,云安全也获得了越来越多的关注,传统和新兴的云计算厂商以及安全厂商均推出了大量云安全产品。但是,与有清晰定义的“云计算”(NIST SP 800-145和ISO/IEC 17788)不同,业界对“云安全”从概念、技术到产品都还没有形成明确的共识。 从发展的脉络分析,“云安全”相关的技术可以分两类: 一类为使用云计算服务提供防护,即使用云服务时的安全(security for using the cloud),也称云计算安全(Cloud Computin...
网络安全防范意识.doc
06-26
作为一个普通用户,我们虽然不可能像电脑安全专家一样精通攻防技术,但我们仍然可以通过一些基础的用来做好安全防范。以下是一些网络安全防范意识的相关知识点。 首先,操作系统安装要安全。在安装操作系统时,...
脚本攻击防范策略完全篇
js07diy的专栏
05-23 501
 网络上的SQL Injection 漏洞利用攻击,JS脚本,HTML脚本攻击似乎逾演逾烈。陆续的很多站点都被此类攻击所困扰,并非像主机漏洞那样可以当即修复,来自于WEB的攻击方式使我们在防范或者是修复上都带来了很大的不便。一个站长最大的痛苦莫过于此。自己的密码如何如何强壮却始终被攻击者得到,但如何才能做到真正意义上的安全呢?第一,别把密码和你的生活联系起来;第二,Supermaster的PWD最
教你如何做好网站安全防范
qq_36957118的博客
01-26 3637
UGC站点如何进行防护工作 由于大多数UGC建站系统存在漏洞,攻克技术成本较低,且群发软件价格低廉,容易被作弊者利用,近期我们发现大量UGC站点被群发的垃圾信息困扰。这些垃圾群发内容无孔不入,除论坛、博客等传统的UGC站点受到困扰外,现已蔓延到微博、SNS、B2B商情页、公司黄页、分类信息、视频站、网盘等更多领域内,甚至连新兴的分享社区也受到了影响。从以的论坛帖子、博客日志,扩
php关于网站安全的一些注意事项
otorain的博客
12-29 784
上传文件时,不要相信浏览器提供的文件名, 对文件名进行判断,过滤或hash 不要将网站文件放在网站根目录下,放在系统的其他目录下 对请求的数据进行过滤 对请求的数据进行转义,使用html实体转义函数 htmlentities($content, ENT_QUOTES, ‘UTF-8’) ,这样可以防止xss攻击,具体xss攻击请查自行google或百 使用PDO连接数据库并使用预编译绑定参数的
网站安全防范措施
weixin_44905281的博客
06-10 1893
网站安全已经是SEO优化中非常重要的一环,一旦网站被黑客入侵,就可能导致网站打不开、访问速变慢、被挂黑链等问题,而这些问题一出现就有可能被搜索引擎拉入黑名单,导致网站被K,作为SEOer掌握最基础的网站安全防范知识是很有必要的,其主要分为两个部分:域名安全网站安全网站安全防范措施 域名安全 域名是否安全,主要是看网站有没有被恶意泛解析,检查的方法是在百搜索框输入 site:网站域名 的命...
网页安全漏洞注意事项
locat_csdn的博客
11-09 400
管理平台的安全对一个系统来说很重要,为了防止黑客攻击,需要注意一下问题: 1.访问链接注入问题,此种问题的特点是,不法分子通过修改访问链接达到某些目的,比如盗取用户cookie. 解决办法是:过滤访问链接中的特殊字符,如果访问链接中包含如下非法字符则阻止其访问. ;  '  "  &lt;&gt;  ()  ,  \  script  svg  alert  confirm  prompt ...
PHP网站的攻击与安全防范.pdf
01-05
PHP 网站攻击与安全防范 PHP 是一种服务器端 HTML 嵌入式脚本语言,具有多平台特性,可以无缝地运行在所有主流操作系统上,且支持多数的 Web 服务器和常用的数据库。然而,PHP安全问题也日益严重,例如全局变量...
GAT 1128-2013 安全防范视频监控高清晰摄像机测量方法.pdf
09-28
需要注意的是,在使用这些资源时,用户确保遵循知识产权法规和网站的使用协议,合法地获取和使用文档内容。 在实际用中,对于高清晰摄像机的测试和评估,需要严格执行GAT 1128-2013标准,确保每一项性能指标...
网络安全防范意.doc
06-10
网络安全防范意识 授课时间2008年4月7日授课班级06、07级 教学目的通过本章节学习,让学生了解一般的网络安全防范意识。虽不能像专家一样精 通攻防技术,但能从普通用做好安全防范。 教学内容同学们随着电脑家庭化...
网站安全防范-13
lzyzlx1914的博客
05-03 265
1.网络安全防范: 自己操作失误—网站备份还原(数据库备份和网站源码整站备份) 黑客操作-----被挂马(大量生成黄赌毒内容)—修改网站ftp账号和密码,提高程序安全性,备份删除网站内容,cms网站保持更新修补漏洞 挂黑链 挂跳转 SQL数据库注入漏洞,跨站脚本攻击 DOS/DDOS–大流量攻击(购买流量保证网站正常打开) 域名被劫持----账号泄露—手机号码验证 域名泛解析----在域名添加任...
网站安全性问题有哪些?
互零网络科技有限公司
08-26 1448
我相信很多人已经意识到网站对企业的重要性, 很多人通过网站获得很多好处。 同时,我相信许多人对网站保持冷漠的态。 我今天要说的是,如果您准备制作网站,请务必了解网站行业中的一些棘手问题。 对人来说最重要的是什么? 健康! 那么,什么对网站最重要? 安全! 不管网站是否做得好,安全都是最重要的。 不安全的网站不仅不能提高效果,反而会给企业造成很多不必要的麻烦。 对于公司而言,我要谈论的网站安全主要包括两点: 一,网站程序该是安全的 每个人都会或多或少地知道,我们经常遇到一些被攻击的网站,正式的公
网站安全注意哪些问题
qq_43444473的博客
10-25 264
提到网站安全,可能会引起很多人的兴趣,对于企业来说,网站安全问题十分重要。数据和信息泄露问题层出不穷,我们能从网上看到诸多的相关报道。数据一旦被盗或者第丢失,这会给企业带来程不等的财产损失,因为数据也是企业的无形资产。 第一就是空间的选择。我们都知道,一个网站的安全问题,多半来自于网络的攻击,这些攻击,一般都是针对服务器的不稳定性和网站空间的漏洞来入手的,所以建站要先选择足够安全稳定的空间服务...
网站安全防护措施有哪些
bocco的博客
09-01 1193
想要我们的网站在网络中安全稳定运行,网站安全防护是不可或缺的环节,那么网站安全防护需要做哪些措施呢,这些措施能起到什么作用呢,接下来一起跟着小编一起来看看吧。
国内网站大多存在的安全问题、
Xluo
11-28 361
        今天偶然进了一个挺大的网站、        当时注册了一个帐号、随即登录进去、        随便进了几个页面、做的还不错、        接着、系统提示我上传一张头像、        我就照办、然后弹出了一个模式窗口、        点击右键、查看源代码、javascript验证的不错、        文件类型已经限制了、只允许.jpg和.gif  
网站安全性关注要点笔记
学习记录和开发记录
12-12 165
记录一下web用的环境安全设计的问题,涉及操作系统、web容器、框架、组件、协议......   1,页面表单提交时后台token验证 2,HTTPS:服务端单向验证、双向验证(可使用自签名证书) 3,防刷新重登录,登录鉴权后加入重定向 4,登录使用强密码 5,提交表单使用验证码 6,HTTPOnly Cookies,防止JS脚本读取cookie 7,隐藏服务器信息(协议Se...
最新网站安全防护解决办法大全
网站安全专家
04-11 917
Web的安全防护早已讲过一些专业知识了,下边再次说一下网站安全防护中的登陆密码传输、比较敏感实际操作二次验证、手机客户端强认证、验证的不正确信息、避免暴力破jie密码、系统日志与监控等。 一、登陆密码传输 登陆页面及全部后端必须验证的网页,页面必须用SSL、TSL或别的的安全传输技术开展浏览,原始登陆页面务必用SSL、TSL浏览,不然网络攻击将会变更登录表格的action特性,造成...
知识点总结
Poolhuang的博客
03-14 2987
1.直接上传asp asa jsp cer php aspx htr cdx 格式的木马,不行就利用IIS6.0解析漏洞":1.asp;1.jpg/1.asp;.jpg/1.asp;jpg/1.asp;.xls 2.上传图片木马遇到拦截系统,连图片木马都上传不了,记事本打开图片木马在代码最面加上gif89a,一般就能逃过拦截系统了。 3.上传图片木马把地址复制到数据库备份里备份成asp木马,有时不成功就利用IIs6.0解析漏洞尝试突破。 4.上传图片木马再用抓包工具进行抓包,用明小子的综合上传功能,
Web 开发常见安全问题
热门推荐
永不放弃的博客
03-01 2万+
不是所有 Web 开发者都有安全的概念,甚至可能某些安全漏洞从来都没听说过。这就是这篇科普文章的存在意义,希望 Web 开发者在开发时能依此逐条检查代码中的安全问题。 注:服务器运维相关的安全注意事项不在本文之列 这篇文章主要包含以下内容: 安全 XSS 漏洞CSRF 漏洞 后端安全 SQL 注入漏洞权限控制漏洞SESSION 与 COOKIEIP
如何防范非法网站的安全风险?
最新发布
11-22
防范非法网站安全风险可以从多个方面入手: - **用户层面**: - 谨慎点击链接,不轻易打开来源不明的邮件、短信或社交媒体中的链接,避免进入非法网站。 - 定期更换各类账号密码,且设置强较高的密码,包含字母、数字、特殊字符等,提高账号安全性。 - 及时更新操作系统、浏览器及各类用程序,以修复可能存在的安全漏洞,降低被攻击风险。 - 安装杀毒软件和防火墙,并保持其处于最新状态,实时监控网络活动,拦截来自非法网站的恶意攻击。 - 避免在不可信的网站上输入个人敏感信息,如银行卡号、密码、身份证号等。 - **网站运营者层面**: - 对于使用特定程序(如Dedecms程序)的网站,及时更新程序到最新版本,防止被利用老版本系统漏洞入侵。可常找专业网站制作人员检查网站,特别是对网站程序不太懂的站长[^3]。 - 非独立IP网站需注意旁注风险,若网站常被恶意入侵,可考虑更换为独立IP地址[^3]。 - 每月至少更换一次网站后台账号和密码,保障网站安全[^3]。 ```python # 示例代码:简单的密码强检查函数 def check_password_strength(password): has_uppercase = any(char.isupper() for char in password) has_lowercase = any(char.islower() for char in password) has_digit = any(char.isdigit() for char in password) has_special = any(not char.isalnum() for char in password) if len(password) >= 8 and has_uppercase and has_lowercase and has_digit and has_special: return True return False password = "StrongP@ssw0rd" if check_password_strength(password): print("密码强符合要求") else: print("密码强不足,请重新设置") ```
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值