当前位置:首页 > 开发 > 互联网 > 正文

Web系统常见编码漏洞(开发工程师知晓)

发表于: 2011-01-11   作者:Bill_chen   来源:转载   浏览:
摘要: 1.头号大敌:SQL Injection 原因:程序中对用户输入检查不严格,用户可以提交一段数据库查询代码,根据程序返回的结果, 获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 本质: 对于输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行。 示例: String query = "SELECT id FROM users

1.头号大敌:SQL Injection
原因:程序中对用户输入检查不严格,用户可以提交一段数据库查询代码,根据程序返回的结果,
获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
本质:
对于输入检查不充分,导致SQL语句将用户提交的非法数据当作语句的一部分来执行。
示例:
String query = "SELECT id FROM users WHERE username="+user+" AND password="+pass;
尽量写成
String query = "SELECT id FROM users WHERE username=? AND password=?";
PreparedStatement stmt = con.prepareStatement(query);
stmt.setString(1, user);
stmt.setString(2, pass);

2.潜在威胁:XSS(Cross Site Script)跨站脚本漏洞
现象:
上传js脚本,html文本,uplaode image与iframe结合,窃取用户名、密码
解决:
输出时使用html encode 转义字符,使得成为纯文本输出
输入处做filter,过滤可执行的html代码

3.FCKEditor等文件上传漏洞:
原因:
对可上传的文件类型控制不严格,导致可以上传可执行的脚本,从而导致服务器被控制
解决方法:
使用正确的函数
白名单与黑名单
禁止上传目录有执行脚本的权限
不要在url中显示上传文件的相对路径

4.越权问题:auth-bypass
解决:
检查每个操作是否进行授权,授权给谁

5.HTTP头的安全隐患:这是一块盲区,http头中的字段很容易被修改
解决:
不要信任来自http头中的取的字段

6.Web 容器自身规则漏洞
现象:Phpshell.php.rar.rar.rar
Apache只会解析第一个 “ . ”
解决:
编码注意

7.暴力破解:验证码可以被暴力破解
解决:
对暴力破解尝试进行帐户锁定,可能会造成恶意尝试锁定帐户

Web系统常见编码漏洞(开发工程师知晓)

  • 0

    开心

    开心

  • 0

    板砖

    板砖

  • 0

    感动

    感动

  • 0

    有用

    有用

  • 0

    疑问

    疑问

  • 0

    难过

    难过

  • 0

    无聊

    无聊

  • 0

    震惊

    震惊

编辑推荐
  平时工作,多数是开发Web项目,由于一般是开发内部使用的业务系统,所以对于安全性一般不是看的
Web开发常见的几个漏洞解决方法 作者: 伍华聪 来源: 博客园 发布时间: 2014-04-11 16:57 阅读: 3458
平时工作,多数是开发Web项目,由于一般是开发内部使用的业务系统,所以对于安全性一般不是看的很重
Web开发常见的几个漏洞解决方法 平时工作,多数是开发Web项目,由于一般是开发内部使用的业务系统,
Web开发常见的几个漏洞解决方法  平时 工作,多数是开发Web项目,由于一般是开发内部使用的业务系
平时工作,多数是开发Web项目,由于一般是开发内部使用的业务系统,所以对于安全性一般不是看的很重
平时工作,多数是开发Web项目,由于一般是开发内部使用的业务系统,所以对于安全性一般不是看的很重
  一位好的Web前端开发工程师在知识体系上既要有广度,又要有深度,所以很多大公司即使出高薪也很
Safe3 Web漏洞扫描系统是安全伞网络推出的网站安全检测工具,传统的方法往往依靠渗透测试(黑箱、白
写在前面:忘记添加来源了,向原作者说声抱歉。如果有知道来源的请跟帖留言,我再注明,谢谢!!!
版权所有 IT知识库 CopyRight © 2009-2015 IT知识库 IT610.com , All Rights Reserved. 京ICP备09083238号