在給企業做網站(zhàn)的時候，經常會出現一些漏洞或bug，這些漏洞輕則爲網站(zhàn)将來(lái)的運營留下隐患，重則被别有用心的人(rén)攻擊造成企業的重大(dà)損失。尋找漏洞并進行修補，就(jiù)成了企業網站(zhàn)建

在給企業做網站(zhàn)的時候，經常會出現一些漏洞或bug，這些漏洞輕則爲網站(zhàn)将來(lái)的運營留下隐患，重則被别有用心的人(rén)攻擊造成企業的重大(dà)損失。尋找漏洞并進行修補，就(jiù)成了企業網站(zhàn)建設的一個重大(dà)課題，值得(de)所有建站(zhàn)公司重視。今天我們就(jiù)來(lái)說(shuō)說(shuō)，在中出現的一些常見(jiàn)漏洞。

1、默認口令、弱口令

問(wèn)題描述：因爲默認口令、弱口令很容易讓人(rén)猜到，也容易讓專業的密碼破解軟件(jiàn)計(jì)算出來(lái)。

修改建議(yì)：加強口令強度，不适用弱口令

注意：口令不要出現常見(jiàn)的單詞。如(rú)：root123456、admin1234、qwer1234、password等。

2、明文傳輸

問(wèn)題描述：對系統用戶口令保護不足，攻擊者可(kě)以利用專業的攻擊工(gōng)具，從(cóng)網絡上竊取合法的用戶口令數據。

修改建議(yì)：傳輸的密碼必須加密之後再傳輸。

注意：所有密碼都(dōu)要進行複雜的加密，不要用md5或base64來(lái)加密。

3、命令執行漏洞

問(wèn)題描述：腳本程序調用如(rú)php的system、exec、shell_exec等。

修改建議(yì)：打補丁，對系統内需要執行的命令要嚴格限制。

4、sql注入

問(wèn)題描述：攻擊者利用sql注入漏洞，可(kě)以獲取數據庫中的多種信息，如(rú)：管理(lǐ)後台的密碼，從(cóng)而盜取數據庫中的内容(脫庫)。

修改建議(yì)：對輸入參數進行過濾、校(xiào)驗。采用黑(hēi)白(bái)名單方式。

注意：過濾、校(xiào)驗要覆蓋系統内所有的參數。

5、敏感信息洩露

問(wèn)題描述：系統暴露内部信息，如(rú)：網站(zhàn)的絕對路(lù)徑、網頁源代碼、SQL語句、中間件(jiàn)版本、程序異常等信息。

修改建議(yì)：對用戶輸入的異常字符過濾。屏蔽一些錯誤回顯，如(rú)自(zì)定義404、403、500等。

6、CSRF(跨站(zhàn)請(qǐng)求僞造)

問(wèn)題描述：使用已經登陸用戶，在不知情的情況下執行某種動作(zuò)的攻擊。

修改建議(yì)：添加token驗證。時間戳或這圖片驗證碼。

7、文件(jiàn)上傳漏洞

問(wèn)題描述：沒有對文件(jiàn)上傳限制，可(kě)能會被上傳可(kě)執行文件(jiàn)，或腳本文件(jiàn)。進一步導緻服務器淪陷。

修改建議(yì)：嚴格驗證上傳文件(jiàn)，防止上傳asp、aspx、asa、php、jsp等危險腳本。同事(shì)最好加入文件(jiàn)頭驗證，防止用戶上傳非法文件(jiàn)。

8、SSRF漏洞

問(wèn)題描述：服務端請(qǐng)求僞造。

修改建議(yì)：打補丁，或者卸載無用的包

9、跨站(zhàn)腳本攻擊

問(wèn)題描述：網站(zhàn)建設費用對輸入信息沒有進行校(xiào)驗，攻擊者可(kě)以通過巧妙的方法注入惡意指令代碼到網頁。這種代碼通常是JavaScript，但(dàn)實際上，也可(kě)以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻擊成功之後，攻擊者可(kě)以拿到更高的權限。

修改建議(yì)：對用戶輸入進行過濾、校(xiào)驗。輸出進行HTML實體(tǐ)編碼。

注意：過濾、校(xiào)驗、HTML實體(tǐ)編碼。要覆蓋所有參數。

網站(zhàn)建設出現漏洞并不可(kě)怕，可(kě)怕的是不以爲然，聽之任之，在網站(zhàn)沒有被攻擊之前還(hái)不會造成什麽影(yǐng)響，一旦被對手或者同行攻擊，盜取了網站(zhàn)數據庫的信息，損失将無法估量。任何一個企業網站(zhàn)的建設都(dōu)應該重視，每一個網站(zhàn)建設公司在爲客戶開發網站(zhàn)的時候，也應該從(cóng)源頭避免網站(zhàn)的漏洞。