开发者社区> 问答> 正文

web应用安全防护经验小结


    很多时候服务器的脆弱不是因为服务器安全防护做到不够好,而是因为部署在服务器上的各种应用存在一定漏洞,比如最初的asp动态网页,发展之初非常流行非常广泛,可如今很少再听到用asp部署网站应用的了,因为asp有很多漏洞可用。又比如现在流行的php,广泛部署的同时,也多了很多存有漏洞的脚本及第三方插件。
    用服务器,主要也是用服务器部署web应用,下面简单把一些基础又实用的个人经验总结分享一下。
    1、预防SQL注入攻击
    这是在很多场合我都会给别人强调的,作为web应用程序,绝大部分会与数据库进行打交道,与数据库打交道就不得不提供input去构造sql查询语句。目前针对各种常用动态网页技术的语言如ASP.NET,PHP,JSP等均可以很好的避免这个问题,但是如果不去关心,这个高危漏洞无疑像一个没有上锁的保险箱。
    2、预防脚本攻击
    脚本攻击是将恶意的字符插入到网页中,浏览器无法验证这些插入字符,并且会将他们作为页面的一部分处理。原理和sql注入很像,均是没有对输入的内容进行处理,直接执行造成的。
    3、Web.config的加密
    大部分web应用均有这样的配置文件,但是很多时候我们往往习惯吧一些重要信息,如数据库账号密码,特殊权限账号密码写入web.config,因此如果不想当服务器被入侵时数据泄露的话,对web.config进行加密是一个简单又有效的方法。
    4、别忽略页面传值的安全
    很多web应用又这样的习惯,通过一个id值指定某个主键,如:book.aspx?bid=4 去查看某一本图书的信息,或者是person.php?pid=324231查询用户的信息,这样熟悉网络url的人一看便知,可以很方便的通过构造url查找一些想要的数据,甚至如果有一位熟悉编程的,可以很简单的通过构造响应请求,虽然不经过攻击服务器,同样可以获取web应用数据库信息。
    5、完善web功能逻辑安全
    不要把每个人都想成会是很文明的,恰恰相反,随着搞IT的人越来越多,很多人甚至企业之间都会不断的进行各种渗透攻击,其中大部分是通过一些功能逻辑的缺陷造成的。记得去年年底工行推出积分换奖品,捕获流量时发现在积分处理的数据的传递上居然是明文传递,构造相似流量,将积分值改为负数,反而会增加积分,这就是后台业务逻辑的处理不当造成的。
  
    简单提出了五条安全防护的经验小结,由于能力有限,仅供参考!

展开
收起
千鸟 2014-03-28 12:02:06 11990 0
10 条回答
写回答
取消 提交回答
  • Reweb应用安全防护经验小结
    确实,要想做好一个站,安全,性能这些一开始就得考虑好。
    2018-10-20 15:15:07
    赞同 展开评论 打赏
  • Reweb应用安全防护经验小结
           好好好
    2014-11-19 00:35:09
    赞同 展开评论 打赏
  • Reweb应用安全防护经验小结
    页面传值该以何种方式去改善?
    2014-10-24 19:06:55
    赞同 展开评论 打赏
  • 好强大
    2014-08-23 22:40:31
    赞同 展开评论 打赏
  • Reweb应用安全防护经验小结
    其实真正想长期做站的朋友,首先考虑的事情就是网络安全的问题。这也就是为什么我都不敢用国产的程序的原因。相比较而言还是国外的程序更靠谱些,当然我说的仅限于比较普及的程序,例如Drupal, Joomla, Wordpress 等。
    2014-08-13 13:56:09
    赞同 展开评论 打赏
  • Reweb应用安全防护经验小结
    很赞啊
    2014-08-09 17:29:45
    赞同 展开评论 打赏
  • Reweb应用安全防护经验小结
    学习了,谢谢!!
    2014-07-22 22:44:54
    赞同 展开评论 打赏
  • LT是个伪程序员
    回 2楼(yundun1) 的帖子
    谢谢支持~

    -------------------------

    回 1楼(牛逼王) 的帖子
    应该像大版主学习才对

    -------------------------

    回 7楼(webzhe.com) 的帖子
    确实,要想做好一个站,安全,性能这些一开始就得考虑好。

    -------------------------

    回 10楼(悠鸣海) 的帖子
    一般不是POST或GET?具体问题是?
    2014-03-28 19:03:05
    赞同 展开评论 打赏
  • 非常不错的分享,非常感谢 。
    2014-03-28 14:02:21
    赞同 展开评论 打赏
  • 学习下
    2014-03-28 12:32:46
    赞同 展开评论 打赏
滑动查看更多
问答排行榜
最热
最新

相关电子书

更多
Web应用系统性能优化 立即下载
高性能Web架构之缓存体系 立即下载
PWA:移动Web的现在与未来 立即下载