网站建设公司给企业做网站的时候,往往会有一些漏洞或者bug。这些漏洞可能会给网站以后的运营留下隐患,也可能会被别有用心的人攻击,给企业造成很大的损失。发现漏洞,修复漏洞,已经成为企业网站建设的一大课题,值得所有网站公司重视。今天就来说说网站建设中常见的一些漏洞。
1.默认密码和弱密码
说明:因为默认密码和弱密码容易被人猜到和专业密码破解软件计算出来。
建议:加强密码强度,不适用于弱密码。
注意:不要在密码中使用常用词。如root123456、admin1234、qwer1234、password等。
2.明文传输
描述:系统用户密码保护不足,攻击者可以利用专业的攻击工具从网络上窃取合法的用户密码数据。
建议:传输的密码在传输前一定要加密。
注意:所有密码都应该以复杂的方式加密,而不是使用md5或base64。
3.命令执行漏洞
描述:脚本程序调用system、exec、shell_exec等。php的。
建议:打补丁,严格限制系统中需要执行的命令。
4.sql注入
描述:攻击者可以利用sql注入漏洞获取数据库中的各种信息,如管理后台的密码等,从而窃取数据库的内容(去数据库)。
建议:过滤并验证输入参数。采用黑白名单。
注:过滤和验证应涵盖系统中的所有参数。
5.敏感信息的披露
描述:系统公开内部信息,如网站绝对路径、网页源代码、SQL语句、中间件版本、程序异常等信息。
建议:过滤掉用户输入的异常字符。屏蔽了一些错误回波,如自定义404、403、500等。
6.CSRF(跨站点请求伪造)
描述:利用登录用户在其不知情的情况下执行某些操作的攻击。
建议:增加令牌验证。或者时间戳或图片验证码。
7.文件上传漏洞
描述:文件上传没有限制。可以上传可执行文件或脚本文件。进一步导致服务器坠落。
建议:对上传的文件进行严格验证,防止上传asp、aspx、asa、php、jsp等危险脚本。同事最好加入文件头验证,防止用户上传非法文件。
8.SSRF脆弱性
问题描述:服务器请求是伪造的。
建议:打补丁或者卸载无用的包。
9。跨站点脚本攻击
描述:建站费不检查输入信息,攻击者可以通过巧妙的方法将恶意指令代码注入网页。这个代码通常是JavaScript,但实际上也可以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻击成功后,攻击者可以获得更高的权限。
建议:过滤并验证用户输入。输出HTML实体编码。
注意:过滤、检查和HTML实体编码。覆盖所有参数。
任何企业网站的建设都要重视,每个网站建设公司在为客户开发网站时也要从源头上避免网站漏洞。
本文来自投稿,不代表重蔚自留地立场,如若转载,请注明出处https://www.cwhello.com/84499.html
如有侵犯您的合法权益请发邮件951076433@qq.com联系删除