下面是一些互联网应用中可能遇到的一些安全问题
-
XSS 攻击
Xss: 就是在网页上发布一些有问题的javascript代码,当用户点击这些代码,就有可能使用用户的权限做一些事情
一般解决办法: 对输出进行转义
-
CSRF 攻击
CSRF: Cross-site request forgery, 就是攻击者模仿用户提交一个请求(get 或者 post)
一般解决办法:拒绝get请求,在post请求页面增加token,对post请求结束重定向,对用户权限进行检查
-
Http header 安全
Http 协议根据报文中 有两个CRLF,来区分http的header和body ,一般解决办法,需要对你的http报文header进行分析
有些服务器,对header长度有限制,比如apaceh,如果超过就会出现400错误,一般解决办法,对你的cookie大小进行现在
-
Cookie防偷
Cookie很容易使用javascript得到, 一般解决办法 使用 httponly cookie
-
重定向安全
钓鱼网站通用做法,一般解决办法 对重定向进行检查
-
上传文件安全
一般网站都允许上传文件,这样就存在有问题的文件,对网站或者网站的用户产生风险。 一般解决办法: 对上传文件后缀名坚信检查,对文件内容进行检查
-
静态文件安全
一般web服务器,都有对静态文件读取的功能 一般解决办法: 隐藏服务器目录,屏蔽使用原生态的服务器取静态文件功能
-
日志
安全日志,跟普通日志不同