網(wǎng)站制作的在漂亮如何安全不到位一樣白搭

2016-11-12    分類: 網(wǎng)站建設

計算機網(wǎng)絡已經(jīng)成為人們工作和生活中必不可少的工具,尤其近期受新冠肺炎疫情的影響,很多人居家遠程辦公,在網(wǎng)上購買生活必需品,人們已經(jīng)離不開計算機網(wǎng)絡。然而網(wǎng)絡在帶來方便的同時,也存在一定的安全隱患,例如用戶個人信息可能會被黑客竊取,甚至可能發(fā)生計算機網(wǎng)絡攻擊事件。1事件經(jīng)過筆者近年從事對一些單位門戶網(wǎng)站網(wǎng)絡安全漏洞的掃描工作。2019年12月,筆者發(fā)現(xiàn)某網(wǎng)站存在網(wǎng)絡安全漏洞,及時向網(wǎng)站所屬單位進行了通報,漏洞詳細情況如下:漏洞名稱為跨站腳本(XSS),漏洞數(shù)量1個,漏洞等級為高危。漏洞描述一種攻擊者利用網(wǎng)站程序對用戶輸入過濾不足的缺陷,輸入可以顯示在頁面上并對其他用戶造成影響的HTML代碼,從而盜取用戶資料、利用用戶身份進行某種動作或者對訪問者進行病毒侵害的攻擊方式。對該漏洞的驗證過程如下(1)構造跨站腳本攻擊URL代碼在網(wǎng)頁地址欄輸入圖2所示的代碼后,在網(wǎng)站相應頁面出現(xiàn)彈框報警,顯示出“23”字樣。(2)在頁面上輸入文字將漏洞情況通報網(wǎng)站所屬單位,該單位進行了一些修復,過濾掉“alert彈窗”。2漏洞危害跨站腳本漏洞在每年的OWASP Top10(最新十大Web安全風險)中一直名列前茅,可被用于竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。惡意攻擊者可以利用跨站腳本漏洞在網(wǎng)站中插入任意代碼,只要是腳本代碼能夠實現(xiàn)的功能,跨站腳本攻擊都能夠做到。3防范措施跨站腳本攻擊按形式可分為三種,即反射性XSS攻擊、存貯性XSS攻擊以及基于DOM的XSS攻擊。其過程簡單來說,就是惡意攻擊者在Web頁面里插入惡意腳本代碼,用戶瀏覽該網(wǎng)頁時,嵌入Web頁面的腳本代碼就會被執(zhí)行,進而達到攻擊目的??缯灸_本攻擊相對于其他網(wǎng)絡攻擊而言更隱蔽。做好防范,須做到以下幾點:(1)對傳入?yún)?shù)進行有效性檢測(2)保護用戶Cookie信息(3)限制輸入字符的長度(4)檢查用戶提交信息中的鏈接(5)對用戶上傳文件進行檢索限制(6)加強網(wǎng)站內(nèi)部人員安全管理網(wǎng)絡安全問題并不遙遠,就在我們身邊,因此提升網(wǎng)站相關人員安全意識、工作責任心、安全防護技術能力尤為重要。此次網(wǎng)站跨站腳本漏洞,從發(fā)現(xiàn)到修復用了兩周時間,并不困難。然而跨站腳本攻擊相對其他攻擊手段更加隱蔽和多變,與網(wǎng)站業(yè)務流程、功能代碼實現(xiàn)都有關系,不存在一勞永逸的解決方案。防范跨站腳本攻擊以及其他網(wǎng)站安全漏洞,往往要犧牲網(wǎng)站的便利性,如何在安全和便利之間尋求平衡也是網(wǎng)站建設的一大焦點議題。

網(wǎng)頁名稱:網(wǎng)站制作的在漂亮如何安全不到位一樣白搭
分享URL:http://muchs.cn/news38/66688.html

成都網(wǎng)站建設公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站策劃網(wǎng)站制作、關鍵詞優(yōu)化企業(yè)建站、網(wǎng)站維護、全網(wǎng)營銷推廣

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉載內(nèi)容為主,如果涉及侵權請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉載,或轉載時需注明來源: 創(chuàng)新互聯(lián)

成都做網(wǎng)站