web应用安全防护经验小结-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

web应用安全防护经验小结

2014-03-28 12:02:06 11756 10

    很多时候服务器的脆弱不是因为服务器安全防护做到不够好,而是因为部署在服务器上的各种应用存在一定漏洞,比如最初的asp动态网页,发展之初非常流行非常广泛,可如今很少再听到用asp部署网站应用的了,因为asp有很多漏洞可用。又比如现在流行的php,广泛部署的同时,也多了很多存有漏洞的脚本及第三方插件。
    用服务器,主要也是用服务器部署web应用,下面简单把一些基础又实用的个人经验总结分享一下。
    1、预防SQL注入攻击
    这是在很多场合我都会给别人强调的,作为web应用程序,绝大部分会与数据库进行打交道,与数据库打交道就不得不提供input去构造sql查询语句。目前针对各种常用动态网页技术的语言如ASP.NET,PHP,JSP等均可以很好的避免这个问题,但是如果不去关心,这个高危漏洞无疑像一个没有上锁的保险箱。
    2、预防脚本攻击
    脚本攻击是将恶意的字符插入到网页中,浏览器无法验证这些插入字符,并且会将他们作为页面的一部分处理。原理和sql注入很像,均是没有对输入的内容进行处理,直接执行造成的。
    3、Web.config的加密
    大部分web应用均有这样的配置文件,但是很多时候我们往往习惯吧一些重要信息,如数据库账号密码,特殊权限账号密码写入web.config,因此如果不想当服务器被入侵时数据泄露的话,对web.config进行加密是一个简单又有效的方法。
    4、别忽略页面传值的安全
    很多web应用又这样的习惯,通过一个id值指定某个主键,如:book.aspx?bid=4 去查看某一本图书的信息,或者是person.php?pid=324231查询用户的信息,这样熟悉网络url的人一看便知,可以很方便的通过构造url查找一些想要的数据,甚至如果有一位熟悉编程的,可以很简单的通过构造响应请求,虽然不经过攻击服务器,同样可以获取web应用数据库信息。
    5、完善web功能逻辑安全
    不要把每个人都想成会是很文明的,恰恰相反,随着搞IT的人越来越多,很多人甚至企业之间都会不断的进行各种渗透攻击,其中大部分是通过一些功能逻辑的缺陷造成的。记得去年年底工行推出积分换奖品,捕获流量时发现在积分处理的数据的传递上居然是明文传递,构造相似流量,将积分值改为负数,反而会增加积分,这就是后台业务逻辑的处理不当造成的。
  
    简单提出了五条安全防护的经验小结,由于能力有限,仅供参考!

取消 提交回答
全部回答(10)
  • 赖忠标2
    2018-10-20 15:15:07
    Reweb应用安全防护经验小结
    确实,要想做好一个站,安全,性能这些一开始就得考虑好。
    0 0
  • 水星守护者
    2014-11-19 00:35:09
    Reweb应用安全防护经验小结
           好好好
    0 0
  • 悠鸣海
    2014-10-24 19:06:55
    Reweb应用安全防护经验小结
    页面传值该以何种方式去改善?
    0 0
  • china2058366
    2014-08-23 22:40:31
    好强大
    0 0
  • webzhe.com
    2014-08-13 13:56:09
    Reweb应用安全防护经验小结
    其实真正想长期做站的朋友,首先考虑的事情就是网络安全的问题。这也就是为什么我都不敢用国产的程序的原因。相比较而言还是国外的程序更靠谱些,当然我说的仅限于比较普及的程序,例如Drupal, Joomla, Wordpress 等。
    0 0
  • denny
    2014-08-09 17:29:45
    Reweb应用安全防护经验小结
    很赞啊
    0 0
  • 风蚀的岁月
    2014-07-22 22:44:54
    Reweb应用安全防护经验小结
    学习了,谢谢!!
    0 0
  • 千鸟
    2014-03-28 19:03:05
    回 2楼(yundun1) 的帖子
    谢谢支持~

    -------------------------

    回 1楼(牛逼王) 的帖子
    应该像大版主学习才对

    -------------------------

    回 7楼(webzhe.com) 的帖子
    确实,要想做好一个站,安全,性能这些一开始就得考虑好。

    -------------------------

    回 10楼(悠鸣海) 的帖子
    一般不是POST或GET?具体问题是?
    0 0
  • yundun1
    2014-03-28 14:02:21
    非常不错的分享,非常感谢 。
    0 0
  • 看头像
    2014-03-28 12:32:46
    学习下
    0 0
滑动查看更多
相关问答

1

回答

云计算ACP认证练习题: (单选)您在阿里云的帐号A 下基于云服务器ECS 实例搭建好了Web 应用

2022-11-02 12:06:04 54浏览量 回答数 1

6

回答

Web应用的域名与SSL证书绑定之后通过Chrome浏览器使用域名访问网站失败

2022-10-17 18:02:08 542浏览量 回答数 6

1

回答

Web系统中数据库对于应用来说是什么?有什么用处?

2022-09-23 16:35:07 66浏览量 回答数 1

1

回答

Web系统中应用程序运行在哪?文件在哪里存储?

2022-09-23 14:10:46 59浏览量 回答数 1

13

回答

Custom Runtime 只有/tmp目录可写,我将现有 web 应用迁移到 FC 来

2022-08-22 12:36:06 10067浏览量 回答数 13

1

回答

web app的应用需要什么样的配置信息呢?

2022-08-16 23:14:06 125浏览量 回答数 1

1

回答

微信小程序相比web端应用有哪些好处呢?

2022-08-16 21:43:20 286浏览量 回答数 1

1

回答

AJAX应用和传统Web应用有什么不同?

2022-08-16 16:04:00 52浏览量 回答数 1

1

回答

怎样在Web应用中使用数据源呢?

2022-08-16 15:52:06 68浏览量 回答数 1

1

回答

web应用中经常看到的协议名是什么啊?

2022-08-15 13:17:43 329浏览量 回答数 1
+关注
千鸟
LT是个伪程序员
文章
问答
问答排行榜
最热
最新
相关电子书
更多
WEB框架0day漏洞的发掘及分析经验分享
立即下载
边缘安全,让Web加速有保障
立即下载
Web应用系统性能优化
立即下载