下面是常見(jiàn)的幾種web安全問(wèn)題及解決方案,希望能對(duì)大家有所幫助。
1、跨站腳本攻擊(Cross Site Scripting)
解決方案
xss之所以會(huì)發(fā)生,是因?yàn)橛脩?hù)輸入的數(shù)據(jù)變成了代碼,因此需要對(duì)用戶(hù)輸入的數(shù)據(jù)進(jìn)行html轉(zhuǎn)義處理,將其中的“尖括號(hào)”,“單引號(hào)”,“雙引號(hào)”之類(lèi)的特殊字符進(jìn)行轉(zhuǎn)義編碼。
2、sql注入
報(bào)錯(cuò)時(shí),盡量使用錯(cuò)誤頁(yè)面覆蓋堆棧信息
3、跨站請(qǐng)求偽造(Cross-Site Request Forgery)
解決方案
server.xml如下配置
<context></context>
web.xml如下配置
(2)增加Token
表單中增加一個(gè)隱藏域,提交時(shí)將隱藏域提交,服務(wù)端驗(yàn)證token。
(3)通過(guò)referer識(shí)別
根據(jù)Http協(xié)議,在HTTP頭中有一個(gè)字段交Referer,它記錄了HTTP請(qǐng)求的來(lái)源地址。如果攻擊者要實(shí)施csrf攻擊時(shí),必須從其他站點(diǎn)偽造請(qǐng)求,當(dāng)用戶(hù)通過(guò)其他網(wǎng)站發(fā)送請(qǐng)求時(shí),請(qǐng)求的Referer的值是其他網(wǎng)站的網(wǎng)址。因此可以對(duì)每個(gè)請(qǐng)求驗(yàn)證其Referer值即可。
4、文件上傳漏洞
在網(wǎng)上經(jīng)常會(huì)操作,上傳圖片、文件到服務(wù)端保存,這時(shí)候,如果沒(méi)有對(duì)圖片文件做正確的校驗(yàn),會(huì)導(dǎo)致一些惡意攻擊者上傳病毒,木馬,外掛等等到服務(wù)器,竊取服務(wù)器信息,甚至導(dǎo)致服務(wù)器癱瘓。
因此需要對(duì)上傳的文件進(jìn)行校驗(yàn),很多文件起始的幾個(gè)字節(jié)是固定的,因此,根據(jù)這幾個(gè)字節(jié)的內(nèi)容,就可以判斷文件的類(lèi)型,這幾個(gè)字節(jié)也被稱(chēng)作魔數(shù)。?
設(shè)置類(lèi)型白名單
相關(guān)推薦:web服務(wù)器安全