網(wǎng)站建設(shè)常見漏洞及解決方案

 模板建站是黑客掛馬和黑鏈的重災(zāi)區(qū)，那么，他們是怎樣入侵模板網(wǎng)站的呢？網(wǎng)站建設(shè)常見漏洞有哪些？需要做哪些防范措施？

   1.明文傳輸

   問題描述:系統(tǒng)用戶密碼保護(hù)不足.攻擊者可以使用攻擊工具從網(wǎng)絡(luò)中竊取合法用戶密碼數(shù)據(jù).

   防范建議:傳輸密碼必須加密.

   注意:所有密碼都是加密的.使用復(fù)雜加密.不要使用base64或md5.

   2. SQL注入

   問題描述:攻擊者使用SQL注入漏洞,可以獲取數(shù)據(jù)庫中的各種信息,如:密碼管理后臺(tái),從而提取數(shù)據(jù)庫(庫)的內(nèi)容.

   防范建議:過濾并驗(yàn)證輸入?yún)?shù).使用黑白名單方法.

   注意:過濾并驗(yàn)證系統(tǒng)中的所有參數(shù).

   3.跨站點(diǎn)腳本攻擊

   問題描述:在沒有驗(yàn)證輸入信息的情況下,攻擊者可以巧妙地將惡意指令代碼注入網(wǎng)頁.這種代碼通常是JavaScript,但事實(shí)上,它還可以包括Java,VBScript,ActiveX,Flash或普通HTML.

   防范建議:過濾并驗(yàn)證用戶輸入. HTML實(shí)體編碼輸出.

   注意:過濾,驗(yàn)證,HTML實(shí)體編碼.覆蓋所有參數(shù).

4.文件上傳漏洞

   問題描述:沒有文件上傳限制,可能是上傳的可執(zhí)行文件或腳本文件.

   防范建議:嚴(yán)格驗(yàn)證上傳的文件,防止上傳asp,aspx,asa,PHP,JSP等危險(xiǎn)腳本.

   5.披露敏感信息

   問題描述:系統(tǒng)公開內(nèi)部信息,如:網(wǎng)站的絕對(duì)路徑,網(wǎng)頁源代碼,SQL語句,中間件版本,程序異常等信息.

   防范建議:過濾用戶輸入的異常字符.阻止一些錯(cuò)誤回顯,例如自定義404,403,500等.

   6.命令執(zhí)行漏洞

   問題描述:腳本程序調(diào)用如PHP系統(tǒng),exec,shell_exec等.

   防范建議:補(bǔ)丁,系統(tǒng)需要在命令內(nèi)執(zhí)行才能嚴(yán)格限制.

   7. CSRF(跨站請(qǐng)求偽造)

   問題描述:在不知情的情況下使用登錄用戶執(zhí)行操作的攻擊.

   防范建議:添加令牌驗(yàn)證.時(shí)間戳或圖片驗(yàn)證碼.

   8. SSRF漏洞

   問題描述:服務(wù)器請(qǐng)求偽造.

   防范建議:修補(bǔ)或卸載不需要的軟件包

   9.默認(rèn)密碼和弱密碼

   問題描述:因?yàn)槟J(rèn)密碼,弱密碼很容易猜到.

   防范建議:加強(qiáng)密碼強(qiáng)度不適用于弱密碼

   注意:請(qǐng)勿對(duì)密碼使用常用字詞,例如root123456,admin1234,qwer1234,pssw0rd等.

   當(dāng)然,這些都不是所有可能存在的漏洞,企業(yè)網(wǎng)站在運(yùn)營過程中必須經(jīng)常進(jìn)行測(cè)試和維護(hù),以確保網(wǎng)站的安全.