老男孩教育专注IT教育10余年,只培养IT技术精英
全国免费咨询电话(渠道合作):400-609-2893
常见的Web安全隐患及解决方法!老男孩渗透测试培训班
老男孩IT教育
行业新闻
2022年10月17日 09:46
在互联网中,处处存在着安全隐患,对于网络安全从业人员来说,只有足够了解才知道如何规避风险,Web服务器主要存在的漏洞包括物理路径泄露、CGI源代码泄露、目录遍历、执行任意命令等,那如何正确防范呢?以下是详细内容:
在互联网中,处处存在着安全隐患,对于网络安全从业人员来说,只有足够了解才知道如何规避风险,Web服务器主要存在的漏洞包括物理路径泄露、CGI源代码泄露、目录遍历、执行任意命令等,那如何正确防范呢?以下是详细内容:
1、跨站脚本攻击(Cross Site Scripting)
解决方案:xss之所以会发生,是因为用户输入的数据变成了代码,因此需要对用户输入的数据进行html转义处理,将其中的“尖括号”,“单引号”,“双引号”之类的特殊字符进行转义编码。
2、SQL注入
报错时,尽量使用错误页面覆盖堆栈信息
3、跨站请求伪造(Cross-Site Request Forgery)
解决方案:
a. 将cookie设置为HttpOnly
b. 增加token
表单中增加一个隐藏域,提交时将隐藏域提交,服务端验证token。
c. 通过referer识别
根据Http协议,在HTTP头中有一个字段交Referer,它记录了HTTP请求的来源地址。如果攻击者要实施csrf攻击时,必须从其他站点伪造请求,当用户通过其他网站发送请求时,请求的Referer的值是其他网站的网址。因此可以对每个请求验证其Referer值即可。
4、文件上传漏洞
在网上经常会操作,上传图片、文件到服务端保存,这时候,如果没有对图片文件做正确的校验,会导致一些恶意攻击者上传病毒,木马,外挂等等到服务器,窃取服务器信息,甚至导致服务器瘫痪。
因此需要对上传的文件进行校验,很多文件起始的几个字节是固定的,因此,根据这几个字节的内容,就可以判断文件的类型,这几个字节也被称作魔数。
网络安全培训班正在招生中,更多网络安全课程信息,欢迎咨询老男孩教育在线客服,可免费申请试听学习视频和教学大纲,了解网络安全学习路线。
推荐阅读:
本文经授权发布,不代表老男孩教育立场。如若转载请联系原作者。
扫码加入网络安全学院讨论学习群
最新文章
