本站已运行

攻城狮论坛

作者: 合肥清默
查看: 10076|回复: 87

主题标签Tag

more +今日重磅推荐Recommend No.1

所有IT类厂商认证考试题库下载所有IT类厂商认证考试题库下载

more +随机图赏Gallery

【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集【新盟教育】2023最新华为HCIA全套视频合集【网工基础全覆盖】---国sir公开课合集
【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课【新盟教育】网工小白必看的!2023最新版华为认证HCIA Datacom零基础全套实战课
原创_超融合自动化运维工具cvTools原创_超融合自动化运维工具cvTools
重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)重量级~~30多套JAVA就业班全套 视频教程(请尽快下载,链接失效后不补)
链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享链接已失效【超过几百G】EVE 国内和国外镜像 全有了 百度群分享
某linux大佬,积累多年的电子书(约300本)某linux大佬,积累多年的电子书(约300本)
乾颐堂现任明教教主Python完整版乾颐堂现任明教教主Python完整版
乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)乾颐堂 教主技术进化论 2018-2019年 最新31-50期合集视频(各种最新技术杂谈视频)
Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天Python学习视频 0起点视频 入门到项目实战篇 Python3.5.2视频教程 共847集 能学102天
约21套Python视频合集 核心基础视频教程(共310G,已压缩)约21套Python视频合集 核心基础视频教程(共310G,已压缩)
最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程最新20180811录制 IT爱好者-清风羽毛 - 网络安全IPSec VPN实验指南视频教程
最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器最新20180807录制EVE开机自启动虚拟路由器并桥接物理网卡充当思科路由器

Web安全开发注意事项

  [复制链接]
查看: 10076|回复: 87
开通VIP 免金币+免回帖+批量下载+无广告
1.sql注入:这个很常规了,不要拼字符串以及过滤关键字都可以防住,需要注意的是,Cookie提交的参数也是可以导致注入漏洞的。
  N# @: w5 u. a* g" e% e# x& Q 2.旁注:就是说在保证自己的程序没问题的同时,也要保证同台服务器的其他站点没问题。至少要设置好系统权限,即使别人的站点出问题也不能影响自己的站点。
$ l( a! C% R3 @. f0 r 3.上传:尽量不要有上传功能,如果必须有上传功能。也要做到以下方面:不能让用户定义路径、文件名,限制好可上传的文件类型。同时要限制好权限,基本规则:执行和可写是互斥权限,不应同时存在。
8 k/ \4 q$ S  x: ^* G( T1 P 4.口令强度:在设置密码之类的功能上应加入密码强度要求。服务器上线部署的时候,应该立即把默认密码修改掉。
3 g+ Q& \( e; l8 F! @- z4 N7 h 5.防穷举机制:适当的加入验证码,防止别人用程序穷举账户密码。
( P9 Q! U+ N( M" O* w0 _+ x# p 6.第三方控件:使用第三方控件,应经过严格的审核(很多第三方控件上作者故意留有缺陷),并且剔除不必要的功能再使用。
& B! C! @& f* }4 r9 ]  ~6 ^ 7.权限最小化:能给只读就给只读,尽量具体到每一个子目录。7 ]$ `$ `; a0 g3 z: v5 Y
8.目录非常规化:得到管理员账户密码,但是找不到后台登录地址也是很难入侵的。后台路径不要动不动就是 /admin、manager、gl之类的,很容易猜解。
/ F7 H' q1 C* S 10.XSS:俗称跨站脚本攻击。用户把HTML、JS之类的标签输入到编辑框,入库之后,再显示的时候可以导致版面错误、JS能解析执行之类的都属于XSS的范畴。如果攻击者插个Iframe连的是个木马网页,那查看这个内容的人就悲剧了。解决方法:过滤大于小于号即可$ m' O4 i. Q% J1 j  W, ^0 s7 [
11.CSRF URL跳转未验证漏洞:类似于XSS,只是把代码写在URL里,如
; E4 H: _& d3 c /logout.aspx?preURL=aaaa.html  x+ s; B8 J$ u+ i
即经常出现在登录退出的页面,通过参数的preURL决定完成动作的时候跳向哪个页面,如果照样, F: `- ~! \/ }8 Q
/logout.aspx?preURL=javascript:alert('test'), t/ V7 E. s$ m: d
就可以弹框,说明我们的js代码已经被执行起来了。9 o7 i* y# E5 w
  
$ ]  Q# A. v6 j; n+ q$ y- k2 { 总之一句话,开发过程中,不要相信用户提交的任何数据,规划好目录,做到权限最小化,关闭、删除不必要的东西,就相对会安全很多了。8 a7 ^6 j* L7 [7 c
  ! i6 i! t# B' O9 q8 C
cert 安全编码建议:. H* B8 g6 X7 g$ F* C
1、验证输入:从不可信任的数据源中进行的输入需要验证。合适的输入验证能减少大量软件的弱点。必须对大部分的数据源持怀疑的态度,包括命令行参数,网络接口,环境变量及用户文件。. \% [4 k' j; V# ]. n& x
2、留言编译器警告:编译代码时使用编译器的最高警告级别,通过修改代码来减少警告。
% ]" H+ ?2 [( X 3、针对安全策略的架构和设计:构建软件架构和设计软件时采用安全策略。例如:如果系统在不同的时间需要不同的权限,则考虑将系统分成不同的互相通信的子系统,每个系统拥有合适的权限。% u; c' X& M  q- @3 M  r$ q# _
4、保持简单性:设计越简单越好,复杂的设计提高了实现时错误的可能性。
# u5 r: G5 ^$ ]0 N 5、默认拒绝:默认的访问策略建立在允许的基础上。也就是说,默认的访问是拒绝的,除非标明是允许的。
( }& C0 O6 H* e5 J- U, M( U# E 6、最小权限原则:每个进程拥有完成工作所需的最小权限。任何权限的拥有时间要尽可能的短。这一方法能阻止攻击者利用权限提升执行任意代码的机会。8 M5 s8 c5 i: u3 h
7、清洁发送给其他系统的数据:清洁所有发送给复杂子系统的数据,例如:命令外壳(shells),关系数据库,商用组件。攻击者可能通过SQL命令或者注入进行攻击。这不是靠子系统通过输入验证来避免的问题,因为子系统不清楚调用的上下文,而调用过程指导上下文,所以有责任在调用子系统时清洁数据。" P7 ~+ }% S/ b0 }) \5 M
8、纵深防御:这是一个通用的安全原则,从多个防御策略中规避风险,如果一层防御失效,则另一层防御还在发挥作用。
4 x9 [' }8 P7 a6 C 9、使用有效的安全质量保证技术:好的质量保证技术能有效的发现和消除弱点。渗透测试、Fuzz测试,以及源代码审计都能作为一种有效的质量保证措施。独立的安全审查能够建立更安全的系统。
5 n& f% ?: a& p. w4 O 10、采用安全编码标准:为开发语言和平台指定安全编码标准,并采用这些标准。
CCNA考试 官方正规报名 仅需1500元
回复 论坛版权

使用道具 举报

jyb75820400 [Lv8 技术精悍] 发表于 2013-10-13 09:29:57 | 显示全部楼层
啊啊啊啊啊啊啊啊啊啊啊
回复 支持 反对

使用道具 举报

CancerX [Lv8 技术精悍] 发表于 2013-10-13 21:30:14 | 显示全部楼层
谢谢楼主,共同发展
回复 支持 反对

使用道具 举报

wdd021117 [Lv8 技术精悍] 发表于 2013-10-17 13:48:36 | 显示全部楼层
回复 支持 反对

使用道具 举报

该用户不存在 [VIP@钻石] 发表于 2013-10-20 20:22:30 | 显示全部楼层
回复 支持 反对

使用道具 举报

wmlam [Lv8 技术精悍] 发表于 2013-10-21 11:35:43 | 显示全部楼层
不知该说些什么。。。。。。就是谢谢
回复 支持 反对

使用道具 举报

czse [Lv8 技术精悍] 发表于 2013-10-21 13:16:02 | 显示全部楼层
过来看看的,感谢攻城狮论坛
回复 支持 反对

使用道具 举报

dtdonald [Lv8 技术精悍] 发表于 2014-3-25 13:29:36 | 显示全部楼层
回复 支持 反对

使用道具 举报

isslee [Lv8 技术精悍] 发表于 2014-3-25 17:16:47 | 显示全部楼层
我是个凑数的。。。
回复 支持 反对

使用道具 举报

nofeel_php [Lv8 技术精悍] 发表于 2014-3-25 18:06:48 | 显示全部楼层
沙发!沙发!
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|无图浏览|手机版|网站地图|攻城狮论坛

GMT+8, 2026-7-5 14:50 , Processed in 0.110594 second(s), 16 queries , Gzip On, MemCache On.

Powered by Discuz! X3.4 © 2001-2013 Comsenz Inc.

Designed by ARTERY.cn