郑州百惠联系电话13323835954
公司新闻 百惠新闻
问题解答
网站建设百科
付款方式
在线留言
您当前的位置:首页 > 客户服务 > 问题解答 > 浏览文章
Web 应用开发时应该注意到的安全问题
tag:应用,开发,应该,注意,注意到,到的,安全,问题  发布人:百惠网站建设  来源:百惠网站设计公司  2009-12-20  人气:

由于网站被黑的情况较多,以下总结网站应用方面需要注意的安全问题:

表单数据验证
在数据被输入程序前必须对数据合法性的检验。非法输入问题是最常见的Web应用程序安全漏洞。
需要做到:对任何输入内容进行检查。接受所有可以接受的内容,拒绝所有不能接受的内容。
所有提交的表单数据,都必须验证两次,即提交前在客户端用javascript验证,提交后在服务器端用脚本再次验证,保证数据的合法性。尤其是对于必填项,不仅需要同时在客户端和服务端验证是否做了输入,还要验证输入的数据格式是否正确。
需要注意:在客户端上的javascript验证并不是真正意义上的检查。比如恶意用户很容易在自己的终端上禁用脚本执行,从而防止客户端的内容检查脚本运行,使得他可以输入恶意代码并成功地提交表单。
对于图像上传功能,需要验证上传图像的格式及大小是否合乎要求。

防范SQL语句注入攻击
程序需要对所有从外部接收到的数据进行过滤,防止恶意攻击。主要防范的字符有“'|script|exec|insert|select|delete|update|count|chr|mid|master|truncate|declare”。
使用积极的过滤而不是消极的过滤。 换句话说,就是检查应该输入什么,而不是检查不应该输入什么。只规定哪些内容不应该输入,会留下太多的漏洞。因为有很多内容都不应该被输入。积极的过滤方式应该包括:
• 是否为空(需要去掉空格后判断)
• 是否是正确的数据类型 (字符串,整数等)
• 是否要求带有参数
• 字符编码是否允许
• 输入内容是否达到了内容长度的最大或者最小界限
• 是否允许输入空值
• 如果应该输入数字,那么确定数字大小的范围。
• 输入内容是否造成了数据重复,如果是,判断这种情况是否可以接受。
• 输入内容是否符合格式要求(比如是否采用正则表达式)
• 如果是通过下拉列表选取的内容,确保其包含了有效的值

地址栏变量需要进行验证
对于从地址栏上接收到的变量,必须要验证其合法性。例如,如果从地址栏上收到了文章ID值,则需要验证ID是否为数字,是否有攻击字符等。

跨站攻击的预防
在验证提交的数据时,为防止跨站攻击 ,可以检查上一个页面是否为本站,另外,过滤<iframe>、<javascript>、<alert>,重点把“<”替换为“&lt;”,把 “>”替换为“&gt;”

目录和文件夹的安全
用户只能访问网站目录下的内容,确保用户不能访问网站目录以外的目录。
程序中涉及文件包含的地方,要确认所有包含的文件的位置正确。为了防止非法包含文件,应特别小心“./”或“../”的使用。

后台所有程序页面需要做授权验证
如果未经过成功登录,不允许访问任何一个后台程序页面。如果用Session验证,Session有效期不可以太长,建议为15分钟。
成功登陆后的用户,需要验证是否有某个操作的权限。


关键信息需要加密
对于密码、会话令牌等关键信息,需要进行加密后再保存到数据库,不允许用明文方式。一般采用MD5加密方式。


配置文件安全
程序中的配置文件(重点是数据库连接配置)需要重点进行安全保护,配置文件不能允许用户直接访问,配置文件的文件扩展名不能为.inc、.txt,必须为可执行脚本扩展名,如.asp、.php、.jsp、.aspx…

数据库安全
数据库文件需要重点安全保护,对于使用access数据库的程序,不可以允许数据库直接可以通过浏览器下载,数据库文件的路径和文件名称需要不易猜测到,数据库文件的扩展名不能为.mdb。可以设置服务器来禁止此类型的文件下载。
使用“最低权限”限制数据库用户的权限。如果使用SQL SERVER或MySQL数据库,可以考虑只给浏览用户以读权限,后台用户以读、写及删权限。

资源的释放
程序中的使用了关键资源后,必须进行显式释放和关闭,尤其是数据库连接、文件句柄等资源。

防止过分详细的错误提示。
攻击者经常会故意输入错误的内容,进而分析系统给出的错误提示信息,从中获取系统信息,发现可能存在的漏洞。
对于使用Access数据库的用户来说,过于详细的错误提示可能会暴露出数据库文件的路径。

相关新闻
    无相关信息
联系我们 |  付款方式 |  工作机会 |  网站地图 |  意见反馈 |  郑州网站建设 |  做手机旅游网站 |  做旅游手机网站 |  郑州旅游网站建设 |  郑州网站制作   专业做旅游网站公司
郑州网站建设服务电话:0371-5672 2382  7×24小时服务电话:13323835954    郑州网站制作在线咨询   郑州网站制作在线咨询  
版权所有:郑州百惠网络技术有限公司 | 网址:web.sosouu.com | 豫ICP备16011973号  
本站关键词:专业旅游网站制作 郑州做旅游网站 河南做旅游网站 河南旅游网站排名 郑州做网站的公司 百惠网站建设 旅游网站建设方案 河南网站建设公司
友情链接: 郑州点菜宝 金水区第三幼儿园 郑州金商通 郑州艺东科贸 餐饮系统百度 襄阳网站建设