Web應(yīng)用開發(fā)時(shí)應(yīng)該注意的安全問題

2023-10-29    分類: 網(wǎng)站建設(shè)

由于網(wǎng)站被黑的情況較多,以下總結(jié)網(wǎng)站應(yīng)用方面需要注意的安全問題:

表單數(shù)據(jù)驗(yàn)證
在數(shù)據(jù)被輸入程序前必須對(duì)數(shù)據(jù)合法性的檢驗(yàn)。非法輸入問題是最常見的Web應(yīng)用程序安全漏洞。
需要做到:對(duì)任何輸入內(nèi)容進(jìn)行檢查。接受所有可以接受的內(nèi)容,拒絕所有不能接受的內(nèi)容。
所有提交的表單數(shù)據(jù),都必須驗(yàn)證兩次,即提交前在客戶端用Javascript驗(yàn)證,提交后在服務(wù)器端用腳本再次驗(yàn)證,保證數(shù)據(jù)的合法性。尤其是對(duì)于必填項(xiàng),不僅需要同時(shí)在客戶端和服務(wù)端驗(yàn)證是否做了輸入,還要驗(yàn)證輸入的數(shù)據(jù)格式是否正確。
需要注意:在客戶端上的Javascript驗(yàn)證并不是真正意義上的檢查。比如惡意用戶很容易在自己的終端上禁用腳本執(zhí)行,從而防止客戶端的內(nèi)容檢查腳本運(yùn)行,使得他可以輸入惡意代碼并成功地提交表單。
對(duì)于圖像上傳功能,需要驗(yàn)證上傳圖像的格式及大小是否合乎要求。

防范SQL語句注入攻擊
程序需要對(duì)所有從外部接收到的數(shù)據(jù)進(jìn)行過濾,防止惡意攻擊。主要防范的字符有“'|script|exec|insert|select|delete|update|count|chr|mid|master|truncate|declare”。
使用積極的過濾而不是消極的過濾。 換句話說,就是檢查應(yīng)該輸入什么,而不是檢查不應(yīng)該輸入什么。只規(guī)定哪些內(nèi)容不應(yīng)該輸入,會(huì)留下太多的漏洞。因?yàn)橛泻芏鄡?nèi)容都不應(yīng)該被輸入。積極的過濾方式應(yīng)該包括:
• 是否為空(需要去掉空格后判斷)
• 是否是正確的數(shù)據(jù)類型 (字符串,整數(shù)等)
• 是否要求帶有參數(shù)
• 字符編碼是否允許
• 輸入內(nèi)容是否達(dá)到了內(nèi)容長度的大或者最小界限
• 是否允許輸入空值
• 如果應(yīng)該輸入數(shù)字,那么確定數(shù)字大小的范圍。
• 輸入內(nèi)容是否造成了數(shù)據(jù)重復(fù),如果是,判斷這種情況是否可以接受。
• 輸入內(nèi)容是否符合格式要求(比如是否采用正則表達(dá)式)
• 如果是通過下拉列表選取的內(nèi)容,確保其包含了有效的值

地址欄變量需要進(jìn)行驗(yàn)證
對(duì)于從地址欄上接收到的變量,必須要驗(yàn)證其合法性。例如,如果從地址欄上收到了文章ID值,則需要驗(yàn)證ID是否為數(shù)字,是否有攻擊字符等。

跨站攻擊的預(yù)防
在驗(yàn)證提交的數(shù)據(jù)時(shí),為防止跨站攻擊 ,可以檢查上一個(gè)頁面是否為本站,另外,過濾<iframe>、<javascript>、<alert>,重點(diǎn)把“<”替換為“&lt;”,把 “>”替換為“&gt;”

目錄和文件夾的安全
用戶只能訪問網(wǎng)站目錄下的內(nèi)容,確保用戶不能訪問網(wǎng)站目錄以外的目錄。
程序中涉及文件包含的地方,要確認(rèn)所有包含的文件的位置正確。為了防止非法包含文件,應(yīng)特別小心“./”或“../”的使用。

網(wǎng)站名稱:Web應(yīng)用開發(fā)時(shí)應(yīng)該注意的安全問題
標(biāo)題URL:http://www.muchs.cn/news13/291363.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供營銷型網(wǎng)站建設(shè)軟件開發(fā)、App設(shè)計(jì)、網(wǎng)站收錄網(wǎng)站設(shè)計(jì)、App開發(fā)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

網(wǎng)站建設(shè)網(wǎng)站維護(hù)公司