会员登录 | 注册

来去留技术信息资源

来去留技术信息资源
来去留网 > 流行服务 > 网络应用 > 摘录百度站长平台测试漏洞检测工具(3)

摘录百度站长平台测试漏洞检测工具(3)

2013-04-03 21:16来源:未知发布者:laiquliu 查看:

  对进入数据库的特殊字符('"\<>&*;等)进行转义处理,或编码转换。

  确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型。

  数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行。

  网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过。

  严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。

  避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。

  在网站发布之前建议使用一些专业的SQL注入检测工具进行检测,及时修补这些SQL注入漏洞。

  3.XSS跨站脚本漏洞

  经常使用的解决方案有:

  与SQL注入漏洞的方案一样,假定所有输入都是可疑的,必须对所有输入中的script、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP请求中的Cookie中的变量,HTTP请求头部中的变量等。

  不要仅仅验证数据的类型,还要验证其格式、长度、范围和内容。

  不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。

  对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。

  在网站发布之前建议测试所有已知的威胁。

  4.信息泄露漏洞

  CGI漏洞

  针对不同类型的CGI漏洞有着不同的修复方法,最好的解决方案是在某CGI漏洞被披露之后,及时打上官方提供的补丁。站长在平时维护服务器时也要定期检查并更新相关CGI组件。

  内容泄露漏洞

  解决内容泄露漏洞经常使用的解决方案有:

  禁用WEB服务器和服务器端语言的调试和报错信息。

  禁用WEB服务器的目录浏览模式。

  网站管理员和域名管理员邮箱请勿在SNS社交网络场合使用。

  网站内容常检查,发现敏感信息及时清理。

  文件泄露漏洞

  解决文件泄露漏洞的关键是对下载功能的参数检验和用最小权限原则对系统服务做出合理的配置。经常使用的解决方案有:

  具备下载功能的程序,在接受传入参数时,过滤“..”,“/”,“C:”等能绕过目录限制的特殊字符。

  谨慎使用ftp,Windows文件共享等服务,如无必要,请不要启用匿名帐号。

  若使用版本控制程序,发布代码时请务必排除.svn和 .git等敏感目录。

  网站备份和数据库备份文件请勿置于外部可访问的目录中。

  WEB服务器的动态程序扩展名的规则请注意大小写和特殊扩展(如.pHp, .jsP, .php.gif, .php3, .asa,.inc 等等)

  及时修补SQL注入漏洞,因为SQL注入漏洞也可能会导致文件泄露。

  避免*.bak, *.swp, *.swo等备份文件或临时交换文件发布到服务器上。

  5.HTTP方法

  禁用不必要且存在安全风险的HTTP方法,例如:TRACE/PUT/DELETE等。或使用加速乐保护您的网站。

  百度站长平台的漏洞检测工具推荐了解决方案供应商,加速乐和Scanv。 (责任编辑:laiquliu)

关注技术,信息,资源,扫描来去留网微信二维码交流。

来去留我李俊

搜索

------分隔线----------------------------
相关栏目

热点推荐
来去留技术信息资源
来去留网为您提供平台咨询交流学习方法及各类热门技术;电器,服装,保健,行业快讯等二十几个类别的资讯