怎么做网站图片seo,网站 动画 怎么做的,网站必须要求备案吗,怎么用新浪云做网站1.sql注入#xff1a;这个很常规了#xff0c;不要拼字符串以及过滤关键字都可以防住#xff0c;需要注意的是#xff0c;Cookie提交的参数也是可以导致注入漏洞的。 2.旁注#xff1a;就是说在保证自己的程序没问题的同时#xff0c;也要保证同台服务器的其他站点没问题… 1.sql注入这个很常规了不要拼字符串以及过滤关键字都可以防住需要注意的是Cookie提交的参数也是可以导致注入漏洞的。 2.旁注就是说在保证自己的程序没问题的同时也要保证同台服务器的其他站点没问题。至少要设置好系统权限即使别人的站点出问题也不能影响自己的站点。 3.上传尽量不要有上传功能如果必须有上传功能。也要做到以下方面不能让用户定义路径、文件名限制好可上传的文件类型。同时要限制好权限基本规则执行和可写是互斥权限不应同时存在。 4.口令强度在设置密码之类的功能上应加入密码强度要求。服务器上线部署的时候应该立即把默认密码修改掉。 5.防穷举机制适当的加入验证码防止别人用程序穷举账户密码。 6.第三方控件使用第三方控件应经过严格的审核很多第三方控件上作者故意留有缺陷并且剔除不必要的功能再使用。 7.权限最小化能给只读就给只读尽量具体到每一个子目录。 8.目录非常规化得到管理员账户密码但是找不到后台登录地址也是很难***的。后台路径不要动不动就是 http://xxxxx/admin、manager、gl之类的很容易猜解。 10.XSS俗称跨站脚本***。用户把HTML、JS之类的标签输入到编辑框入库之后再显示的时候可以导致版面错误、JS能解析执行之类的都属于XSS的范畴。如果***者插个Iframe连的是个***网页那查看这个内容的人就悲剧了。解决方法过滤大于小于号即可 11.CSRF URL跳转未验证漏洞类似于XSS只是把代码写在URL里如http://xxxx/logout.aspx?preURLaaaa.html 即经常出现在登录退出的页面通过参数的preURL决定完成动作的时候跳向哪个页面如果照样http://xxxx/logout.aspx?preURLjavascript:alert(test) 就可以弹框说明我们的js代码已经被执行起来了。 总之一句话开发过程中不要相信用户提交的任何数据规划好目录做到权限最小化关闭、删除不必要的东西就相对会安全很多了。 cert 安全编码建议 1、验证输入从不可信任的数据源中进行的输入需要验证。合适的输入验证能减少大量软件的弱点。必须对大部分的数据源持怀疑的态度包括命令行参数网络接口环境变量及用户文件。 2、留言编译器警告编译代码时使用编译器的最高警告级别通过修改代码来减少警告。 3、针对安全策略的架构和设计构建软件架构和设计软件时采用安全策略。例如如果系统在不同的时间需要不同的权限则考虑将系统分成不同的互相通信的子系统每个系统拥有合适的权限。 4、保持简单性设计越简单越好复杂的设计提高了实现时错误的可能性。 5、默认拒绝默认的访问策略建立在允许的基础上。也就是说默认的访问是拒绝的除非标明是允许的。 6、最小权限原则每个进程拥有完成工作所需的最小权限。任何权限的拥有时间要尽可能的短。这一方法能阻止***者利用权限提升执行任意代码的机会。 7、清洁发送给其他系统的数据清洁所有发送给复杂子系统的数据例如命令外壳shells关系数据库商用组件。***者可能通过SQL命令或者注入进行***。这不是靠子系统通过输入验证来避免的问题因为子系统不清楚调用的上下文而调用过程指导上下文所以有责任在调用子系统时清洁数据。 8、纵深防御这是一个通用的安全原则从多个防御策略中规避风险如果一层防御失效则另一层防御还在发挥作用。 9、使用有效的安全质量保证技术好的质量保证技术能有效的发现和消除弱点。***测试、Fuzz测试以及源代码审计都能作为一种有效的质量保证措施。独立的安全审查能够建立更安全的系统。 10、采用安全编码标准为开发语言和平台指定安全编码标准并采用这些标准。 转载于:https://blog.51cto.com/infosec/801492
