软件开发之常见前端安全漏洞 缺乏、安全感 2021-07-26 14:46 421阅读 0赞 原标题:软件开发之常见前端安全漏洞 软件开发完成后,在Web服务器在投入使用之前,应该确保服务器是相对安全地。保证服务器相对安全地前提是,要充分了解影响Web系统安全。 ![Image 1][] **1、跨站脚本(XSS)漏洞**跨站脚本攻击发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。解决方案:①④⑤对参数做HTML转义过滤,要过滤的字符包括:单引号、双引号、大于号、小于号、&符号,防止脚本执行;②在变量输出时进行HTML ENCODE处理。 **2、跨站请求伪造(CSRF)漏洞**恶意网站通过脚本向当前用户浏览器打开的其他页面的URL发起恶意请求,由于同一个浏览器进程下Cookie可见性,导致用户身份被盗用,完成恶意网站脚本中指定的操作。该漏洞会导致用户信息泄露,被盗用后进行恶意操作。解决方案:①验证请求是否是信任页面发起的,随机生成token植入session,再在后端进行一致性校验。②验证请求是否是合法用户发起的,修复方案:验证码、密码验证、OTP验证。 **3、HTTP Header注入漏洞**WEB程序代码中把用户提交的参数未做过滤就直接输出到HTTP响应头里,导致攻击者可以利用该漏洞来注入到HTTP响应头中实现攻击。解决方案:①对参数做合法性校验以及长度限制,谨慎地根据用户所传入参数做HTTP响应的Header设置;②在设置HTTP响应头时,过滤回车换行%0d、%0a、%0D、%0A字符。 **4、目标遍历漏洞**目标遍历是由于WEB服务器或WEB应用程序对用户输入文件名称的安全性验证不足而导致的一种安全漏洞,使得攻击者通过HTTP请求和利用一些特殊字符就可以绕过服务器的安全限制,访问任意受限文件,甚至执行系统命令。解决方案:①严格检查文件路径参数,限制在指定范围。②严格限制文件路径参数,不允许用户控制文件路径相关的参数。 **5、SQL注入漏洞**SQL注入攻击,被广泛用于非法获取网站控制权,是发生在应用程序的数据层上的安全漏洞。解决方案:①所有的数据库查询语句均使用数据库提供的参数化查询接口;②对特殊字符进行专业处理;③严格规定长度、统一编码、避免网站显示SQL错误提示信息。 **6、文件下载漏洞**WEB应用程序在处理文件下载时,接收用户指定的路径和文件名进行下载,攻击者利用此漏洞来下载服务器的其他文件甚至任意文件。解决方案:①限制可下载文件所在的目录为预期范围;②通过指定文件编号的方式来定位下载文件。 **7、文件上传漏洞**文件上传的WEB程序未对文件类型和格式做合法性验证,导致攻击者可以上传WEB Shell或者非期望格式的文件。解决方案:①对上传的文件大小和类型进行校验,定义上传文件的白名单;②保存上传文件的目录不提供直接访问。 以上就是会影响Web系统安全漏洞,多加注意,相信你的服务器一定能够安全运行。 深圳市逻辑思维软件有限公司 来源:http://www.logicalthinksoft.com/[返回搜狐,查看更多][Link 1] 责任编辑: 推荐:[web大前端开发中一些常见的安全性问题][web] [Image 1]: [Link 1]: https://www.sohu.com/?strategyid=00001&spm=smpc.content.content.2.1614738033750gUox1fH [web]: https://www.jianshu.com/p/f8e47a132e1c
相关 安全问题剖析:Java开发中常见的SQL注入漏洞 SQL注入是Java开发中一个重要的安全问题。它主要源于开发者在处理用户输入时,未正确地转义或者使用预编译语句,导致恶意的SQL代码被执行。 以下是常见的一些漏洞示例: 1 今天药忘吃喽~/ 2024年09月10日 12:36/ 0 赞/ 21 阅读
相关 JAVA开发(web常见安全漏洞以及修复建议) web安全常见漏洞 ![20ccca2995fc476c92c056ec03add986.png][] ![2f8e22a602764f1298b2d53f02f8d7b5 傷城~/ 2024年03月29日 14:37/ 0 赞/ 59 阅读
相关 常见安全漏洞及测试方法 垂直权限问题及测试方法 垂直权限漏洞是指Web应用没有做权限控制,或仅仅在菜单上做了权限控制,导致恶意用户只要猜到了其他页面的URL,就可以访问或控制其他角色拥有的数据或 柔光的暖阳◎/ 2024年03月23日 15:12/ 0 赞/ 16 阅读
相关 web开发常见安全漏洞 XXE(XML External Entity) 原理 XXE攻击是一种针对应用程序处理XML数据的安全漏洞。在这种攻击中,攻击者利用XML解析器处理外部实体的方式 矫情吗;*/ 2024年02月05日 13:32/ 0 赞/ 17 阅读
相关 【WEB安全】常见WEB漏洞 > 欢迎关注公众号: > > ![70][] \----------------------------------------------正文---- 左手的ㄟ右手/ 2022年07月14日 07:58/ 0 赞/ 246 阅读
相关 PHP网站常见的安全漏洞 1. 打开php得安全模式 php得安全模式是个非常重要的内嵌的安全机制,能够控制一些php中得函数,比如system(),同时把很多文件操作函数进行了权限控制,也不允许对 ╰半橙微兮°/ 2022年04月10日 06:49/ 0 赞/ 551 阅读
相关 常见Web安全漏洞 [常见Web安全漏洞][Web] 1.web安全常见攻击手段 xss sql注入 防盗链 csrf 上传漏洞 2. 信息加密与漏洞扫描 对称加密 冷不防/ 2022年01月28日 12:45/ 0 赞/ 312 阅读
相关 常见Web安全漏洞--------XSS 攻击 1,XSS 攻击 XSS攻击使用Javascript脚本注入进行攻击 例如在提交表单后,展示到另一个页面,可能会受到XSS脚本注入,读取本地cookie远程发 清疚/ 2021年11月05日 01:12/ 0 赞/ 461 阅读
相关 软件开发之常见前端安全漏洞 原标题:软件开发之常见前端安全漏洞 软件开发完成后,在Web服务器在投入使用之前,应该确保服务器是相对安全地。保证服务器相对安全地前提是,要充分了解影响Web系统安全。 ! 缺乏、安全感/ 2021年07月26日 14:46/ 0 赞/ 422 阅读
还没有评论,来说两句吧...