亚洲国产精品无码中文字722,亚洲午夜福利片高清,色综合久久综合网观看,亚洲欧美日韩精品久久亚洲区

網(wǎng)站在建設(shè)過(guò)程當(dāng)中，由于疏忽可能會(huì)導(dǎo)致一些安全漏洞發(fā)生，作為一名網(wǎng)站建設(shè)人員應(yīng)該有必要了解網(wǎng)站在建設(shè)過(guò)程中可能出現(xiàn)的安全漏洞，以及如何預(yù)防安全漏洞的發(fā)生？

明文傳輸

問(wèn)題描述：對(duì)系統(tǒng)用戶(hù)密碼的保護(hù)不足，攻擊者可以使用攻擊工具從網(wǎng)絡(luò)竊取合法的用戶(hù)密碼數(shù)據(jù)。

修改建議：傳輸?shù)拿艽a必須加密。

注意：所有密碼都是加密的。使加密復(fù)雜化。不要使用base64或md5。

問(wèn)題描述：攻擊者使用sql注入漏洞來(lái)獲取數(shù)據(jù)庫(kù)中的各種信息，例如：管理后臺(tái)密碼，從而刪除數(shù)據(jù)庫(kù)的內(nèi)容（去數(shù)據(jù)庫(kù)）。

修改建議：過(guò)濾并驗(yàn)證輸入?yún)?shù)。使用黑白名單。

注意：過(guò)濾和驗(yàn)證應(yīng)覆蓋系統(tǒng)中的所有參數(shù)。

跨站腳本攻擊

問(wèn)題描述：輸入信息未經(jīng)驗(yàn)證，攻擊者可以巧妙地將惡意指令代碼注入網(wǎng)頁(yè)。該代碼通常是JavaScript，但實(shí)際上，它也可以包括Java，VBScript，ActiveX，F(xiàn)lash或純HTML。攻擊成功后，攻擊者可以獲得更高的特權(quán)。

修改建議：篩選并驗(yàn)證用戶(hù)輸入。輸出以HTML實(shí)體編碼。

注意：過(guò)濾，檢查HTML實(shí)體編碼。覆蓋所有參數(shù)。

文件上傳漏洞

問(wèn)題描述：沒(méi)有文件上傳限制，并且可執(zhí)行文件或腳本文件可能已上傳。進(jìn)一步導(dǎo)致服務(wù)器掉線(xiàn)。

修改建議：嚴(yán)格驗(yàn)證上傳的文件，以防止上傳危險(xiǎn)的腳本，例如asp，aspx，asa，php，jsp等。建議同事添加文件頭驗(yàn)證，以防止用戶(hù)上傳非法文件。

命令執(zhí)行漏洞

問(wèn)題描述：腳本程序調(diào)用如php的system、exec、shell_exec等。

修改建議：對(duì)需要在系統(tǒng)中執(zhí)行的命令進(jìn)行修補(bǔ)，嚴(yán)格限制。

CSRF（跨站請(qǐng)求偽造）問(wèn)題描述：已經(jīng)登錄到用戶(hù)并在不知情的情況下執(zhí)行某種操作的攻擊。

修改建議：添加令牌驗(yàn)證。時(shí)間戳或此圖片驗(yàn)證碼。

SSRF漏洞

問(wèn)題描述：服務(wù)器請(qǐng)求偽造。

修改建議：修補(bǔ)或卸載無(wú)用的軟件包

默認(rèn)密碼，弱密碼

問(wèn)題描述：因?yàn)槟J(rèn)密碼，弱密碼很容易猜到。

修改建議：加強(qiáng)密碼強(qiáng)度不適用于弱密碼