阿里云
阿里云多端小程序中小企业获客首选
发表主题 回复主题
  • 9932阅读
  • 13回复

web应用安全防护经验小结

级别: 分析狮
发帖
1559
云币
5022
eRMN=qP.q  
    很多时候服务器的脆弱不是因为服务器安全防护做到不够好,而是因为部署在服务器上的各种应用存在一定漏洞,比如最初的asp动态网页,发展之初非常流行非常广泛,可如今很少再听到用asp部署网站应用的了,因为asp有很多漏洞可用。又比如现在流行的php,广泛部署的同时,也多了很多存有漏洞的脚本及第三方插件。 "^]gIQc  
    用服务器,主要也是用服务器部署web应用,下面简单把一些基础又实用的个人经验总结分享一下。 YmV/[{  
    1、预防SQL注入攻击 ]1 f^ SxSI  
    这是在很多场合我都会给别人强调的,作为web应用程序,绝大部分会与数据库进行打交道,与数据库打交道就不得不提供input去构造sql查询语句。目前针对各种常用动态网页技术的语言如ASP.NET,PHP,JSP等均可以很好的避免这个问题,但是如果不去关心,这个高危漏洞无疑像一个没有上锁的保险箱。 hr vTFJ  
    2、预防脚本攻击 2-4N)q  
    脚本攻击是将恶意的字符插入到网页中,浏览器无法验证这些插入字符,并且会将他们作为页面的一部分处理。原理和sql注入很像,均是没有对输入的内容进行处理,直接执行造成的。 qb"S   
    3、Web.config的加密 |*bUcS<S  
    大部分web应用均有这样的配置文件,但是很多时候我们往往习惯吧一些重要信息,如数据库账号密码,特殊权限账号密码写入web.config,因此如果不想当服务器被入侵时数据泄露的话,对web.config进行加密是一个简单又有效的方法。 7#LIGr  
    4、别忽略页面传值的安全 {nmG/dn {  
    很多web应用又这样的习惯,通过一个id值指定某个主键,如:book.aspx?bid=4 去查看某一本图书的信息,或者是person.php?pid=324231查询用户的信息,这样熟悉网络url的人一看便知,可以很方便的通过构造url查找一些想要的数据,甚至如果有一位熟悉编程的,可以很简单的通过构造响应请求,虽然不经过攻击服务器,同样可以获取web应用数据库信息。 rS1gFGrj  
    5、完善web功能逻辑安全 m.<_WXH  
    不要把每个人都想成会是很文明的,恰恰相反,随着搞IT的人越来越多,很多人甚至企业之间都会不断的进行各种渗透攻击,其中大部分是通过一些功能逻辑的缺陷造成的。记得去年年底工行推出积分换奖品,捕获流量时发现在积分处理的数据的传递上居然是明文传递,构造相似流量,将积分值改为负数,反而会增加积分,这就是后台业务逻辑的处理不当造成的。 gVG^R02#<k  
   U^PXpNQ'  
    简单提出了五条安全防护的经验小结,由于能力有限,仅供参考! *)K 5<}V  
x{R440"  
级别: 科学怪人
发帖
9441
云币
14683
只看该作者 沙发  发表于: 2014-03-28
学习下
发帖
314
云币
552
只看该作者 板凳  发表于: 2014-03-28
非常不错的分享,非常感谢 。
欢迎关注阿里云安全新浪微博:http://weibo.com/678750615
级别: 分析狮
发帖
1559
云币
5022
只看该作者 地板  发表于: 2014-03-28
回 2楼(yundun1) 的帖子
谢谢支持~
级别: 分析狮
发帖
1559
云币
5022
只看该作者 4楼 发表于: 2014-03-28
回 1楼(牛逼王) 的帖子
应该像大版主学习才对
级别: 小白
发帖
28
云币
36
只看该作者 5楼 发表于: 2014-07-22
Reweb应用安全防护经验小结
学习了,谢谢!!
级别: 新人
发帖
8
云币
10
只看该作者 6楼 发表于: 2014-08-09
Reweb应用安全防护经验小结
很赞啊
级别: 程序猿
发帖
209
云币
133
只看该作者 7楼 发表于: 2014-08-13
Reweb应用安全防护经验小结
其实真正想长期做站的朋友,首先考虑的事情就是网络安全的问题。这也就是为什么我都不敢用国产的程序的原因。相比较而言还是国外的程序更靠谱些,当然我说的仅限于比较普及的程序,例如Drupal, Joomla, Wordpress 等。
级别: 分析狮
发帖
1559
云币
5022
只看该作者 8楼 发表于: 2014-08-13
回 7楼(webzhe.com) 的帖子
确实,要想做好一个站,安全,性能这些一开始就得考虑好。
级别: 程序猿
发帖
303
云币
-2
只看该作者 9楼 发表于: 2014-08-23
好强大
级别: 新人
发帖
17
云币
3
只看该作者 10楼 发表于: 2014-10-24
Reweb应用安全防护经验小结
页面传值该以何种方式去改善?
级别: 分析狮
发帖
1559
云币
5022
只看该作者 11楼 发表于: 2014-10-27
回 10楼(悠鸣海) 的帖子
一般不是POST或GET?具体问题是?
级别: 小白
发帖
6
云币
6
只看该作者 12楼 发表于: 2014-11-19
Reweb应用安全防护经验小结
       好好好
级别: 新人
发帖
9
云币
10
只看该作者 13楼 发表于: 2018-10-20
Reweb应用安全防护经验小结
确实,要想做好一个站,安全,性能这些一开始就得考虑好。 \.p; 4V&  
发表主题 回复主题
« 返回列表上一主题下一主题

限100 字节
如果您提交过一次失败了,可以用”恢复数据”来恢复帖子内容
 
验证问题: 阿里云官网域名是什么? 正确答案:www.aliyun.com
上一个 下一个
      ×
      全新阿里云开发者社区, 去探索开发者的新世界吧!
      一站式的体验,更多的精彩!
      通过下面领域大门,一起探索新的技术世界吧~ (点击图标进入)