新闻观点资讯

探知 • 创造美好

不断超越客户的期望值,源自我们对这个行业的热爱

企业网站设计常见的安全漏洞有哪些?

来源:https://www.bb620.com| 2018-05-02 04:09:47

随着企业对网络的重视,越来越多的网站上线,网站建设网络安全问题越来越受到大家重视,一个企业网站设计如果出现安全问题,对企业的品牌形象和用户信任度影响非常大,那如何保障网站的安全问题呢?我们能做的就是在出现问题前做好预防,今天向扬网络来分享一些网站建设中常见的安全漏洞。

企业网站设计常见的安全漏洞有哪些?

1、明文传输

问题描述:对系统用户口令保护不足,攻击者可以利用攻击工具,从网络上窃取合法的用户口令数据。

修改建议:传输的密码必须加密。

注意:所有密码要加密。要复杂加密。不要用base64或md5。

2、sql注入

问题描述:攻击者利用sql注入漏洞,可以获取数据库中的多种信息,如:管理后台的密码,从而脱取数据库中的内容(脱库)。

修改建议:对输入参数进行过滤、校验。采用黑白名单方式。

注意:过滤、校验要覆盖系统内所有的参数。

3、跨站脚本攻击

网站设计中,问题描述:对输入信息没有进行校验,攻击者可以通过巧妙的方法注入恶意指令代码到网页。这种代码通常是JavaScript,但实际上,也可以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻击成功之后,攻击者可以拿到更高的权限。

修改建议:对用户输入进行过滤、校验。输出进行HTML实体编码。

注意:过滤、校验、HTML实体编码。要覆盖所有参数。

4、文件上传漏洞

问题描述:没有对文件上传限制,可能会被上传可执行文件,或脚本文件。进一步导致服务器沦陷。

修改建议:严格验证上传文件,防止上传asp、aspx、asa、php、jsp等危险脚本。同事最好加入文件头验证,防止用户上传非法文件。

5、敏感信息泄露

问题描述:系统暴露内部信息,如:网站的绝对路径、网页源代码、SQL语句、中间件版本、程序异常等信息。

修改建议:对用户输入的异常字符过滤。屏蔽一些错误回显,如自定义404、403、500等。

6、命令执行漏洞

网站制作问题描述:脚本程序调用如php的system、exec、shell_exec等。

修改建议:打补丁,对系统内需要执行的命令要严格限制。

7、CSRF(跨站请求伪造)

问题描述:使用已经登陆用户,在不知情的情况下执行某种动作的攻击。

修改建议:添加token验证。时间戳或这图片验证码。

8、SSRF漏洞

问题描述:服务端请求伪造。

修改建议:打补丁,或者卸载无用的包

9、默认口令、弱口令

问题描述:因为默认口令、弱口令很容易让人猜到。

修改建议:加强口令强度不适用弱口令

注意:口令不要出现常见的单词。如:root123456、admin1234、qwer1234、p ssw0rd等。

当然以上这些并不是所有可能出现的漏洞,企业网站在运营过程中一定要经常检测维护,东莞网站制作公司最好有专门的负责人对企业网站定期检测维护,确保网站安全。


企业网站设计常见的安全漏洞有哪些?由东莞网站设计编辑 https://www.bb620.com/news/807.html如需转载请注明出处

动态网站建设 阳东网站建设 清城网站建设 云安网站建设 南朗网站建设 营销型网站建设 东莞网站制作 东莞网站建设 东莞网站设计 东莞网页制作 东莞建站费用 东莞网站优化 东莞做网站公司 东莞网络推广

厦门助孕 鞍山助孕 襄阳助孕 助孕机构 助孕机构 助孕机构 助孕机构 助孕机构 绵阳助孕 龙岩助孕 商丘助孕 厦门助孕 阜阳助孕 嘉兴助孕 嘉兴助孕 琼海助孕 锡林郭勒盟代怀 克拉玛依代生 成都助孕 广州助孕 东莞代生 青岛代生 大连代怀 佛山代怀 助孕公司 助孕公司 助孕公司 助孕公司 助孕公司

多一份参考,总有益处