|
|
下面是一些互联网应用中可能遇到的一些安全问题
Xss: 就是在网页上发布一些有问题的javascript代码,当用户点击这些代码,就有可能使用用户的权限做一些事情
一般解决办法: 对输出进行转义
CSRF: Cross-site request forgery, 就是攻击者模仿用户提交一个请求(get 或者 post)
一般解决办法:拒绝get请求,在post请求页面增加token,对post请求结束重定向,对用户权限进行检查
Http 协议根据报文中 有两个CRLF,来区分http的header和body ,一般解决办法,需要对你的http报文header进行分析
有些服务器,对header长度有限制,比如apaceh,如果超过就会出现400错误,一般解决办法,对你的cookie大小进行现在
Cookie很容易使用javascript得到, 一般解决办法 使用 httponly cookie
钓鱼网站通用做法,一般解决办法 对重定向进行检查
一般网站都允许上传文件,这样就存在有问题的文件,对网站或者网站的用户产生风险。 一般解决办法: 对上传文件后缀名坚信检查,对文件内容进行检查
一般web服务器,都有对静态文件读取的功能 一般解决办法: 隐藏服务器目录,屏蔽使用原生态的服务器取静态文件功能
安全日志,跟普通日志不同 |
|
京ICP备14020293号-2
本网站内容均收集于互联网,如有问题请联系QQ:389897944予以删除
窥视卡
雷达卡
楼主
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡