网站建设厂家的漏洞有哪些?

79
发表时间:2019-04-01 23:47

   随着互联网的发展,网络安全问题越来越受到重视,一家公司的网站如果出现安全问题,对企业的品牌形象和用户信任度影响很大,那如何保护网站的安全?我们能做的是在问题出现之前采取预防措施.今天,沙漠风在网站建设中存在一些常见的安全漏洞.


rjkf10.jpg


   1.明文传输

   问题描述:系统用户密码保护不足.攻击者可以使用攻击工具从网络中窃取合法用户密码数据.

   修改建议:传输密码必须加密.

   注意:所有密码都是加密的.使用复杂加密.不要使用base64或md5.

   2. SQL注入

   问题描述:攻击者使用SQL注入漏洞,可以获取数据库中的各种信息,如:密码管理后台,从而提取数据库(库)的内容.

   修改建议:过滤并验证输入参数.使用黑白名单方法.

   注意:过滤并验证系统中的所有参数.

   3.跨站点脚本攻击

   问题描述:在没有验证输入信息的情况下,攻击者可以巧妙地将恶意指令代码注入网页.这种代码通常是JavaScript,但事实上,它还可以包括Java,VBScript,ActiveX,Flash或普通HTML.

   修改建议:过滤并验证用户输入. HTML实体编码输出.

   注意:过滤,验证,HTML实体编码.覆盖所有参数.

   4.文件上传漏洞

   问题描述:没有文件上传限制,可能是上传的可执行文件或脚本文件.

   修改建议:严格验证上传的文件,防止上传asp,aspx,asa,PHP,JSP等危险脚本.

   5.披露敏感信息

   问题描述:系统公开内部信息,如:网站的绝对路径,网页源代码,SQL语句,中间件版本,程序异常等信息.

   修改建议:过滤用户输入的异常字符.阻止一些错误回显,例如自定义404,403,500等.

   6.命令执行漏洞

   问题描述:脚本程序调用如PHP系统,exec,shell_exec等.

   修改建议:补丁,系统需要在命令内执行才能严格限制.

   7. CSRF(跨站请求伪造)

   问题描述:在不知情的情况下使用登录用户执行操作的攻击.

   修改建议:添加令牌验证.时间戳或图片验证码.

   8. SSRF漏洞

   问题描述:服务器请求伪造.

   修复建议:修补或卸载不需要的软件包

   9.默认密码和弱密码

   问题描述:因为默认密码,弱密码很容易猜到.

   修改建议:加强密码强度不适用于弱密码

   注意:请勿对密码使用常用字词,例如root123456,admin1234,qwer1234,pssw0rd等.

   当然,这些都不是所有可能存在的漏洞,企业网站在运营过程中必须经常进行测试和维护,知名企业网站的负责人定期进行测试和维护,以确保网站的安全.