web应用安全防护经验小结-问答-阿里云开发者社区-阿里云

开发者社区> 问答> 正文

web应用安全防护经验小结

千鸟 2014-03-28 12:02:06 10300

    很多时候服务器的脆弱不是因为服务器安全防护做到不够好,而是因为部署在服务器上的各种应用存在一定漏洞,比如最初的asp动态网页,发展之初非常流行非常广泛,可如今很少再听到用asp部署网站应用的了,因为asp有很多漏洞可用。又比如现在流行的php,广泛部署的同时,也多了很多存有漏洞的脚本及第三方插件。
    用服务器,主要也是用服务器部署web应用,下面简单把一些基础又实用的个人经验总结分享一下。
    1、预防SQL注入攻击
    这是在很多场合我都会给别人强调的,作为web应用程序,绝大部分会与数据库进行打交道,与数据库打交道就不得不提供input去构造sql查询语句。目前针对各种常用动态网页技术的语言如ASP.NET,PHP,JSP等均可以很好的避免这个问题,但是如果不去关心,这个高危漏洞无疑像一个没有上锁的保险箱。
    2、预防脚本攻击
    脚本攻击是将恶意的字符插入到网页中,浏览器无法验证这些插入字符,并且会将他们作为页面的一部分处理。原理和sql注入很像,均是没有对输入的内容进行处理,直接执行造成的。
    3、Web.config的加密
    大部分web应用均有这样的配置文件,但是很多时候我们往往习惯吧一些重要信息,如数据库账号密码,特殊权限账号密码写入web.config,因此如果不想当服务器被入侵时数据泄露的话,对web.config进行加密是一个简单又有效的方法。
    4、别忽略页面传值的安全
    很多web应用又这样的习惯,通过一个id值指定某个主键,如:book.aspx?bid=4 去查看某一本图书的信息,或者是person.php?pid=324231查询用户的信息,这样熟悉网络url的人一看便知,可以很方便的通过构造url查找一些想要的数据,甚至如果有一位熟悉编程的,可以很简单的通过构造响应请求,虽然不经过攻击服务器,同样可以获取web应用数据库信息。
    5、完善web功能逻辑安全
    不要把每个人都想成会是很文明的,恰恰相反,随着搞IT的人越来越多,很多人甚至企业之间都会不断的进行各种渗透攻击,其中大部分是通过一些功能逻辑的缺陷造成的。记得去年年底工行推出积分换奖品,捕获流量时发现在积分处理的数据的传递上居然是明文传递,构造相似流量,将积分值改为负数,反而会增加积分,这就是后台业务逻辑的处理不当造成的。
  
    简单提出了五条安全防护的经验小结,由于能力有限,仅供参考!

SQL 开发框架 安全 .NET Java PHP 数据库 数据安全/隐私保护
分享到
取消 提交回答
全部回答(10)
  • 赖忠标2
    2018-10-20 15:15:07
    Reweb应用安全防护经验小结
    确实,要想做好一个站,安全,性能这些一开始就得考虑好。
    0 0
  • 水星守护者
    2014-11-19 00:35:09
    Reweb应用安全防护经验小结
           好好好
    0 0
  • 悠鸣海
    2014-10-24 19:06:55
    Reweb应用安全防护经验小结
    页面传值该以何种方式去改善?
    0 0
  • china2058366
    2014-08-23 22:40:31
    好强大
    0 0
  • webzhe.com
    2014-08-13 13:56:09
    Reweb应用安全防护经验小结
    其实真正想长期做站的朋友,首先考虑的事情就是网络安全的问题。这也就是为什么我都不敢用国产的程序的原因。相比较而言还是国外的程序更靠谱些,当然我说的仅限于比较普及的程序,例如Drupal, Joomla, Wordpress 等。
    0 0
滑动查看更多

集结各类场景实战经验,助你开发运维畅行无忧

推荐文章
相似问题