隨著網際網路的發展,網路安全問題越來越受到大家重視,一個企業的網站如果出現安全問題,對企業的品牌形象和多使用者信任度影響非常大,那如何保障網站的安全問題呢?我們能做的就是在出現問題前做好預防,今天 SEO 站群來分享一些網站建設中常見的安全漏洞。
1 、明文傳輸
問題描述:對系統多使用者口令保護不足,攻擊者可以利用攻擊工具,從網路上竊取合法的多使用者口令資料。
修改建議:傳輸的密碼必須加密。
注意:所有密碼要加密。要複雜加密。不要用 base64 或 md5 。
2 、 sql 注入
問題描述:攻擊者利用 sql 注入漏洞,可以獲取資料庫中的多種資訊,如:管理後臺的密碼,從而脫取資料庫中的內容(脫庫)。
修改建議:對輸入引數進行過濾、校驗。採用黑白名單方式。
注意:過濾、校驗要覆蓋系統內所有的引數。
3 、跨站指令碼攻擊
問題描述:對輸入資訊沒有進行校驗,攻擊者可以透過巧妙的方法注入惡意指令程式碼到網頁。這種程式碼通常是 JavaScript,但實際上,也可以包括 Java 、 VBScript 、 ActiveX 、 Flash 或者普通的 HTML 。攻擊成功之後,攻擊者可以拿到更高的許可權。
修改建議:對多使用者輸入進行過濾、校驗。輸出進行 HTML 實體編碼。
注意:過濾、校驗、 HTML 實體編碼。要覆蓋所有引數。
4 、檔案上傳漏洞
問題描述:沒有對檔案上傳限制,可能會被上傳可執行檔案,或指令碼檔案。進一步導致伺服器淪陷。
修改建議:嚴格驗證上傳檔案,防止上傳 asp 、 aspx 、 asa 、 php 、 jsp 等危險指令碼。同事知名加入檔案頭驗證,防止多使用者上傳非法檔案。
5 、敏感資訊洩露
問題描述:系統暴露內部資訊,如:網站的絕對路徑、網頁原始碼、 SQL 語句、中介軟體版本、程式異常等資訊。
修改建議:對多使用者輸入的異常字元過濾。遮蔽一些錯誤回顯,如自定義 404 、 403 、 500 等。
6 、命令執行漏洞
問題描述:指令碼程式呼叫如 php 的 system 、 exec 、 shell_exec 等。
修改建議:打補丁,對系統內需要執行的命令要嚴格限制。
7 、 CSRF(跨站請求偽造)
問題描述:使用已經登陸多使用者,在不知情的情況下執行某種動作的攻擊。
修改建議:新增 token 驗證。時間戳或這圖片驗證碼。
8 、 SSRF 漏洞
問題描述:服務端請求偽造。
修改建議:打補丁,或者解除安裝無用的包
9 、預設口令、弱口令
問題描述:因為預設口令、弱口令很容易讓人猜到。
修改建議:加強口令強度不適用弱口令
注意:口令不要出現常見的單詞。如:root123456 、 admin1234 、 qwer1234 、 p ssw0rd 等。
當然以上這些並不是所有可能出現的漏洞,企業網站在運營過程中一定要經常檢測維護,知名有專門的負責人對企業網站定期檢測維護,確保網站安全。