本文主要向您展示“网站建设中常见的安全漏洞有哪些”。内容简单易懂,条理清晰,希望能帮你解开疑惑。让边肖带领大家学习学习《网站建设中常见的安全漏洞有哪些》一文。
1、明文传输
说明:系统用户密码保护不足,* * *用户可以使用* *工具从网络窃取合法用户密码数据。
建议:传输的密码必须加密。
注意:所有密码都应该加密。需要复杂的加密。不要使用base64或md5。
2、sql注入
描述:* * * *用户可以利用sql注入漏洞获取数据库中的各种信息,如管理后台的密码等,从而摆脱数据库中的内容(数据库移除)。
建议:过滤并检查输入参数。使用黑白名单法。
注:过滤和验证应涵盖系统中的所有参数。
3、跨站脚本***
说明:如果输入的信息未经验证,* * *用户可以通过巧妙的方法向网页注入恶意指令代码。这种代码通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者纯HTML。* * *成功后,* * *可以获得更高的权威。
建议:过滤并检查用户输入。输出HTML实体编码。
注意:过滤、验证、HTML实体编码。覆盖所有参数。
4、文件上传漏洞
说明:文件上传没有限制,可以上传可执行文件或脚本文件。进一步导致服务器崩溃。
建议:严格验证上传文件,防止上传asp、aspx、asa、php、jsp等危险脚本。同事最好加上文件头验证,防止用户上传非法文件。
5、敏感信息泄露
描述:系统公开内部信息,如网站绝对路径、网页源代码、SQL语句、中间件版本、程序异常等。
建议:过滤用户输入的异常字符。屏蔽一些错误回声,如自定义404、403、500等。
6、命令执行漏洞
描述:脚本程序调用,如php的system、exec、shell_exec等。
建议:修补并严格限制系统中要执行的命令。
7、CSRF(跨站请求伪造)
描述:使用登录用户在不知情的情况下执行操作。
建议:添加令牌身份验证。或者这个图片验证码。
8、F漏洞
描述:服务器请求伪造。
建议:修补或卸载无用的包。
9、默认口令、弱口令
说明:因为默认密码和弱密码很容易猜到。
建议:加强密码强度不适用于弱密码。
注意:不要在密码中使用常用词。例如root123456、admin1234、qwer1234、pssw0rd等。
当然,这些并不都是可能的漏洞。在运营过程中,必须经常检查和维护企业网站。最好有专门负责人定期对企业网站进行检查维护,确保网站安全。
以上就是《网站建设中常见的安全漏洞有哪些》一文的全部内容感谢阅读!相信大家都有一定的了解,希望分享的内容对大家有所帮助。想了解更多知识,请关注行业资讯频道!
内容来源网络,如有侵权,联系删除,本文地址:https://www.230890.com/zhan/105867.html