在給企業做網站(zhàn)的時候,經常會出現一些漏洞或bug,這些漏洞輕則爲網站(zhàn)将來(lái)的運營留下隐患,重則被别有用心的人(rén)攻擊造成企業的重大(dà)損失。尋找漏洞并進行修補,就(jiù)成了企業網站(zhàn)建
在給企業做網站(zhàn)的時候,經常會出現一些漏洞或bug,這些漏洞輕則爲網站(zhàn)将來(lái)的運營留下隐患,重則被别有用心的人(rén)攻擊造成企業的重大(dà)損失。尋找漏洞并進行修補,就(jiù)成了企業網站(zhàn)建設的一個重大(dà)課題,值得(de)所有建站(zhàn)公司重視。今天我們就(jiù)來(lái)說(shuō)說(shuō),在中出現的一些常見(jiàn)漏洞。
1、默認口令、弱口令
問(wèn)題描述:因爲默認口令、弱口令很容易讓人(rén)猜到,也容易讓專業的密碼破解軟件(jiàn)計(jì)算出來(lái)。
修改建議(yì):加強口令強度,不适用弱口令
注意:口令不要出現常見(jiàn)的單詞。如(rú):root123456、admin1234、qwer1234、password等。
2、明文傳輸
問(wèn)題描述:對系統用戶口令保護不足,攻擊者可(kě)以利用專業的攻擊工(gōng)具,從(cóng)網絡上竊取合法的用戶口令數據。
修改建議(yì):傳輸的密碼必須加密之後再傳輸。
注意:所有密碼都(dōu)要進行複雜的加密,不要用md5或base64來(lái)加密。
3、命令執行漏洞
問(wèn)題描述:腳本程序調用如(rú)php的system、exec、shell_exec等。
修改建議(yì):打補丁,對系統内需要執行的命令要嚴格限制。
4、sql注入
問(wèn)題描述:攻擊者利用sql注入漏洞,可(kě)以獲取數據庫中的多種信息,如(rú):管理(lǐ)後台的密碼,從(cóng)而盜取數據庫中的内容(脫庫)。
修改建議(yì):對輸入參數進行過濾、校(xiào)驗。采用黑(hēi)白(bái)名單方式。
注意:過濾、校(xiào)驗要覆蓋系統内所有的參數。
5、敏感信息洩露
問(wèn)題描述:系統暴露内部信息,如(rú):網站(zhàn)的絕對路(lù)徑、網頁源代碼、SQL語句、中間件(jiàn)版本、程序異常等信息。
修改建議(yì):對用戶輸入的異常字符過濾。屏蔽一些錯誤回顯,如(rú)自(zì)定義404、403、500等。
6、CSRF(跨站(zhàn)請(qǐng)求僞造)
問(wèn)題描述:使用已經登陸用戶,在不知情的情況下執行某種動作(zuò)的攻擊。
修改建議(yì):添加token驗證。時間戳或這圖片驗證碼。
7、文件(jiàn)上傳漏洞
問(wèn)題描述:沒有對文件(jiàn)上傳限制,可(kě)能會被上傳可(kě)執行文件(jiàn),或腳本文件(jiàn)。進一步導緻服務器淪陷。
修改建議(yì):嚴格驗證上傳文件(jiàn),防止上傳asp、aspx、asa、php、jsp等危險腳本。同事(shì)最好加入文件(jiàn)頭驗證,防止用戶上傳非法文件(jiàn)。
8、SSRF漏洞
問(wèn)題描述:服務端請(qǐng)求僞造。
修改建議(yì):打補丁,或者卸載無用的包
9、跨站(zhàn)腳本攻擊
問(wèn)題描述:網站(zhàn)建設費用對輸入信息沒有進行校(xiào)驗,攻擊者可(kě)以通過巧妙的方法注入惡意指令代碼到網頁。這種代碼通常是JavaScript,但(dàn)實際上,也可(kě)以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻擊成功之後,攻擊者可(kě)以拿到更高的權限。
修改建議(yì):對用戶輸入進行過濾、校(xiào)驗。輸出進行HTML實體(tǐ)編碼。
注意:過濾、校(xiào)驗、HTML實體(tǐ)編碼。要覆蓋所有參數。
網站(zhàn)建設出現漏洞并不可(kě)怕,可(kě)怕的是不以爲然,聽之任之,在網站(zhàn)沒有被攻擊之前還(hái)不會造成什麽影(yǐng)響,一旦被對手或者同行攻擊,盜取了網站(zhàn)數據庫的信息,損失将無法估量。任何一個企業網站(zhàn)的建設都(dōu)應該重視,每一個網站(zhàn)建設公司在爲客戶開發網站(zhàn)的時候,也應該從(cóng)源頭避免網站(zhàn)的漏洞。