首页 新闻 赞助 找找看

WEB健康诊断

0
悬赏园豆:60 [已解决问题] 解决于 2010-11-29 16:34

近期研究web健康问题,发现只知道几个安全问题,还有很多都不了解,

希望有大侠能站出来把自己总结的心得发给我看下,先写我知道名称的几个安全问题,

(SQL注入,OS命令注入,路径游历,访问控制不完善,目录浏览检测,Session 管理不完善

跨站点脚本攻击(XSS),跨站请求伪造(CSRF),电子邮件Header注入

意外重定向,HTTPHeader注入,认证)

本人不太懂其中的原理,大侠是否能以简单的方式告知,谢谢!

dinoy的主页 dinoy | 初学一级 | 园豆:160
提问于:2010-11-26 13:34
< >
分享
最佳答案
0

每一个点都可以从互联网中查出N篇文章。

另参考一篇文章:http://www.ruanyifeng.com/blog/2010/11/61_things_every_web_developer_should_know.html

  二、安全性(Security

  2.1

  阅读《OWASP开发指南》,它提供了全面的网站安全指导。

  2.2

  了解SQL注入(SQL injection)及其预防方法。

  2.3

  永远不要信任用户提交的数据(cookie也是用户端提交的!)。

  2.4

  不要明文(plain-text)储存用户的密码,要hash处理后再储存。

  2.5

  不要对你的用户认证系统太自信,它可能很容易就被攻破,而你事先根本没意识到存在相关漏洞。

  2.6

  了解如何处 理信用卡

  2.7

  在登录页面及其他处理敏感信息的页面,使用SSL/HTTPS

  2.8

  知道如何对付session劫持(session hijacking)。

  2.9

  避免"跨站点执行"(cross site scripting,XSS)。

  2.9

  避免"跨域伪造请求"(cross site request forgeries,XSRF)。

  2.10

  及时打上补丁,让你的系统始终跟上最新版本。

  2.11

  确认你的数据库连接信息的安全性。

  2.12

  跟踪攻击技术的最新发展,以及你使用的平台的最新安全漏洞。

  2.13

  阅读Google的《浏览器安全手册》(Browser Security Handbook)。

  2.14

  阅读《网络软件的黑客手册》(The Web Application Hackers Handbook)。

收获园豆:60
Astar | 高人七级 |园豆:40805 | 2010-11-27 07:57
高手Astar,还在不在,我只是找到SQL注入,跨站点脚本攻击,跨站 请求伪造,意外重定向,其他几个我找了好久,找不到他们的概要,和攻击原理,还有我们应该怎么阻止,请问你这里有没有相关信息,谢谢。
dinoy | 园豆:160 (初学一级) | 2010-11-29 10:06
@diony:其它的如果你没有应用,原理肯定不知道了。
Astar | 园豆:40805 (高人七级) | 2010-11-29 10:08
@diony:OS命令注入,路径游历,访问控制不完善,目录浏览检测,Session 管理不完善。前几个是系统的相关安全权限设置问题,session管理不完善原理很多。
Astar | 园豆:40805 (高人七级) | 2010-11-29 10:09
Session管理不完善,是不是因为session在使用的时候,有可能在逻辑上面有问题,然后会造成信息错误?
dinoy | 园豆:160 (初学一级) | 2010-11-29 11:31
@diony:什么可能都有,有可能sessionid暴漏到前台,或session验证判断不完善。
Astar | 园豆:40805 (高人七级) | 2010-11-29 11:52
哦,知道了,谢谢啊,下面两个你知道吗,能不能给我讲讲 电子邮件Header注入 HTTPHeader注入,
dinoy | 园豆:160 (初学一级) | 2010-11-29 13:00
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册