1.头号大敌:SQL Injection
原因:程序中对用户输入检查不严格,用户可以提交一段数据库查询代码,根据程序返回的结果,
获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
本质:
对于输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行。
示例:
String query = "SELECT id FROM users WHERE username="+user+" AND password="+pass;
尽量写成
String query = "SELECT id FROM users WHERE username=? AND password=?";
PreparedStatement stmt = con.prepareStatement(query);
stmt.setString(1, user);
stmt.setString(2, pass);
2.潜在威胁:XSS(Cross Site Script)跨站脚本漏洞
现象:
上传js脚本,html文本,uplaode image与iframe结合,窃取用户名、密码
解决:
输出时使用html encode 转义字符,使得成为纯文本输出
输入处做filter,过滤可执行的html代码
3.FCKEditor等文件上传漏洞:
原因:
对可上传的文件类型控制不严格,导致可以上传可执行的脚本,从而导致服务器被控制
解决方法:
使用正确的函数
白名单与黑名单
禁止上传目录有执行脚本的权限
不要在url中显示上传文件的相对路径
4.越权问题:auth-bypass
解决:
检查每个操作是否进行授权,授权给谁
5.HTTP头的安全隐患:这是一块盲区,http头中的字段很容易被修改
解决:
不要信任来自http头中的取的字段
6.Web 容器自身规则漏洞
现象:Phpshell.php.rar.rar.rar
Apache只会解析第一个 “ . ”
解决:
编码注意
7.暴力破解:验证码可以被暴力破解
解决:
对暴力破解尝试进行帐户锁定,可能会造成恶意尝试锁定帐户
分享到:
相关推荐
Web中间件常见漏洞总结
web中间件常见漏洞总结.pdf
WEB开发中常见安全漏洞分析与预防策略
WEB服务器常见漏洞-建站者需要注意的服务器漏洞
web中间件常见漏洞分析
Web常见十大漏洞.pdf
web安全常见漏洞浅析
WEB编程常见的漏洞与检测,可能对WEB设计者有帮助,对于WEB应用系统管理者也有帮助
web编程常见漏洞与检测web编程常见漏洞与检测web编程常见漏洞与检测
web开发常见漏洞解决方案
SQL注入漏洞 跨站脚本攻击漏洞 IIS短文件/文件夹漏洞 系统敏感信息泄露
Web的大多数安全问题都属于下面三种类型之一 : 1. 服务器向公众提供了不应该提供的服务。 2. 服务器把本应私有的数据放到了公开访问的区域。 3.服务器信赖了来自不可信赖数据源的数据 …………
web编程常见漏洞与检测
1.SQL注入攻击 2. 跨站脚本攻击 3. 跨站请求伪造
基于web漏洞扫描及分析系统设计 摘 要 Abstract 1、绪论 1.1 研究背景 1.2 研究现状 1.3 研究目的与内容 1.4 设计目标及论文结构 2、渗透测试概要及流程 2.1 PTES渗透测试标准 2.2 定制化渗透测试流程 2.3本章小结 3...
常见的web应用漏洞和检测方案 明文信息传输漏洞 敏感信息泄露 默认或可猜解用户账户 会话重放攻击测试 验证码缺陷 http方法测试 不安全的cookie传输 CSRF漏洞测试 会话设计缺陷 会话定置测试 会话复杂度测试 会话...
web一些中间件常见漏洞总结
常见WEB漏洞原理分析及防护,如何防御web漏洞攻防技术
Internet的开放性使得Web系统面临入侵攻击的威胁,而建立一个安全的Web系统一直是人们的目标。一个实用的方法是,建立比较容易实现的相对安全的系统,同时按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是...