虛擬主機Web應用開發時應該注意的安全問題_安全焦點_龍虎鷹師網安服務器維護基地--Powered by www.vqbhynr.com.cn

虛擬主機Web應用開發時應該注意的安全問題

作者:龍虎鷹師網安網站維護基地 來源:龍虎鷹師網安網站維護基地 瀏覽次數:0

本篇關鍵詞:虛擬主機Web應用
龍虎鷹師網安網訊:  通州區新華北街西側的通州西海子市場突遭關停。由于此前市場和商戶都未得到通知,突然關門的消息引發了商戶的不滿和市民的搶購。通州有關部門稱,停業是為了綜合治理,市場必須升級改造。在商戶與政府相關部門溝
由于網站被黑的情況較多以下總結網站應用方面需要注意的安全問題:表單數據驗證在數據被輸入程序前必須對數據合法性的檢驗非法輸入問題是最常見的Web應用程序安全漏洞需要做到:對任何輸入內容進行檢查。接受所有可以接受的內容拒絕所有不能接受的內容。

所有提交的表單數據,都必須驗證兩次,即提交前在客戶端用Javascript驗證,提交后在服務器端用腳本再次驗證,保證數據的合法性。尤其是對于必填項,不僅需要同時在客戶端和服務端驗證是否做了輸入,還要驗證輸入的數據格式是否正確。
需要注意:在客戶端上的Javascript驗證并不是真正意義上的檢查。比如惡意用戶很容易在自己的終端上禁用腳本執行,從而防止客戶端的內容檢查腳本運行,使得他可以輸入惡意代碼并成功地提交表單。
對于圖像上傳功能,需要驗證上傳圖像的格式及大小是否合乎要求。

防范SQL語句注入攻擊
程序需要對所有從外部接收到的數據進行過濾,防止惡意攻擊。主要防范的字符有“'|script|exec|insert|select|delete|update|count|chr|mid|master|truncate|declare”。
使用積極的過濾而不是消極的過濾。 換句話說,就是檢查應該輸入什么,而不是檢查不應該輸入什么。只規定哪些內容不應該輸入,會留下太多的漏洞。因為有很多內容都不應該被輸入。積極的過濾方式應該包括:
• 是否為空(需要去掉空格后判斷)
• 是否是正確的數據類型 (字符串,整數等)
• 是否要求帶有參數
• 字符編碼是否允許
• 輸入內容是否達到了內容長度的最大或者最小界限
• 是否允許輸入空值
• 如果應該輸入數字,那么確定數字大小的范圍。
• 輸入內容是否造成了數據重復,如果是,判斷這種情況是否可以接受。
• 輸入內容是否符合格式要求(比如是否采用正則表達式)
• 如果是通過下拉列表選取的內容,確保其包含了有效的值

地址欄變量需要進行驗證
對于從地址欄上接收到的變量,必須要驗證其合法性。例如,如果從地址欄上收到了文章ID值,則需要驗證ID是否為數字,是否有攻擊字符等。

跨站攻擊的預防
在驗證提交的數據時,為防止跨站攻擊 ,可以檢查上一個頁面是否為本站,另外,過濾<iframe>、<javascript>、<alert>,重點把 “<”替換為“&lt;”,把 “>”替換為“&gt;”

目錄和文件夾的安全
用戶只能訪問網站目錄下的內容,確保用戶不能訪問網站目錄以外的目錄。
程序中涉及文件包含的地方,要確認所有包含的文件的位置正確。為了防止非法包含文件,應特別小心“./”或“../”的使用。

后臺所有程序頁面需要做授權驗證
如果未經過成功登錄,不允許訪問任何一個后臺程序頁面。如果用Session驗證,Session有效期不可以太長,建議為15分鐘。
成功登陸后的用戶,需要驗證是否有某個操作的權限。
 

關鍵信息需要加密
對于密碼、會話令牌等關鍵信息,需要進行加密后再保存到數據庫,不允許用明文方式。一般采用MD5加密方式。
 

配置文件安全
程序中的配置文件(重點是數據庫連接配置)需要重點進行安全保護,配置文件不能允許用戶直接訪問,配置文件的文件擴展名不能為.inc、.txt,必須為可執行腳本擴展名,如.asp、.php、.jsp、.aspx…

數據庫安全
數據庫文件需要重點安全保護,對于使用access數據庫的程序,不可以允許數據庫直接可以通過瀏覽器下載,數據庫文件的路徑和文件名稱需要不易猜測到,數據庫文件的擴展名不能為.mdb。可以設置服務器來禁止此類型的文件下載。
使用“最低權限”限制數據庫用戶的權限。如果使用SQL SERVER或MySQL數據庫,可以考慮只給瀏覽用戶以讀權限,后臺用戶以讀、寫及刪權限。

資源的釋放
程序中的使用了關鍵資源后,必須進行顯式釋放和關閉,尤其是數據庫連接、文件句柄等資源。

防止過分詳細的錯誤提示
攻擊者經常會故意輸入錯誤的內容,進而分析系統給出的錯誤提示信息,從中獲取系統信息,發現可能存在的漏洞。
對于使用Access數據庫的用戶來說,過于詳細的錯誤提示可能會暴露出數據庫文件的路徑。
 

友好的操作反饋提示
對于流程性的操作,需要給用戶的操作以友好性反饋提示,讓用戶了解自己的操作是否有問題,問題在什么地方。
例如,會員注冊表單,如果用戶提交時,忘記填寫某些項,可以在該項后以醒目的顏色來提示,提示的顯示最好以AJAX技術實現無刷新效果,提高用戶體驗。
后臺的程序對于一些操作,如刪除、審核,必須讓用戶確認一下才可以執行。
不管用戶操作成功或失敗,都需要給與提示信息。
 

驗證碼的使用
對于用戶注冊、用戶登陸、調查問卷、在線反饋、評論等程序,需要加上驗證碼,防止機器人繞過限制提交垃圾信息。

    龍虎鷹師網安服務器維護方案本篇連接:http://www.vqbhynr.com.cn/show.php?contentid-2972.html
網站維護教程更新時間:2012-12-15 15:46:04  【打印此頁】  【關閉
全站連接N點 | 龍虎鷹師網安 |  
專業服務器維護及網站維護手工安全搭建環境,網站安全加固服務。龍虎鷹師網安服務器維護基地招商進行中!請QQ:29769479

footer  footer  互聯網安全  footer    

山东体十一选五走势 2011年银川站街女信息 qq游戏河北麻将外挂 免费注册单机南昌麻将下载 银川按摩会所哪里比较好 期货配资 大智慧手机炒股8,83版 财牛汇配资 竞彩足球比分 武汉站街女信息2014 手机麻将作弊器免费版 胜分差 天津十一选五走势图 现金咖啡 5分3D大小计划 想找个沈阳麻将群 快速时时彩