首頁技術(shù)文章正文

怎樣檢測前端頁面的安全性？如何避免web頁面攻擊？

更新時間:2021年01月22日16時33分來源:傳智教育瀏覽次數(shù):

　　WEB基本攻擊大致可以分為三大類—— “資源枚舉”、“參數(shù)操縱” 和 “其它攻擊”

　　資源枚舉：遍歷站點所有可訪問的目錄，然后把一些常見的備胎文件名(比如“sql.bak”、“index-副本.html”)一個個都枚舉一下，如果運氣好枚舉到了就直接下載。

　　參數(shù)操縱：包括了SQL注入、XPath注入、cgi命令執(zhí)行，還有XXS和會話劫持等，xxs攻擊指的是惡意攻擊者往Web頁面里插入惡意html代碼，當(dāng)用戶瀏覽該頁之時，嵌入的惡意html代碼會被執(zhí)行，從而達到惡意用戶的特殊目的

　　cookie劫持：通過獲取頁面的權(quán)限，在頁面中寫一個簡單的到惡意站點的請求，并攜帶用戶的cookie，獲取cookie后通過cookie 就可以直以被盜用戶的身份登錄站點

　　解決方案：

　　永遠不要相信客戶端傳來的任何信息，對這些信息都應(yīng)先進行編碼或過濾處理

　　謹慎返回用戶輸入的信息

　　使用黑名單和白名單處理(即“不允許哪些敏感信息”或“只允許哪些信息”，白名單的效果更好但局限性高)

　　檢查、驗證請求來源，對每一個重要的操作都進行重新驗證

　　使用SSL防止第三方監(jiān)聽通信(但無法阻止XSS、CSRF、SQL注入攻擊)

　　不要將重要文件、備份文件存放在公眾可訪問到的地方

　　會話ID無序化

　　對用戶上傳的文件進行驗證(不單單是格式驗證，比方一張gif圖片還應(yīng)將其轉(zhuǎn)為二進制并驗證其每幀顏色值<無符號8位>和寬高值<無符號16位>)

　　WSDL文檔應(yīng)當(dāng)要求用戶注冊后才能獲取

猜你喜歡：

web前端技術(shù)的演變過程

最新資訊