Web常见漏洞修复建议
2023年8月23日发(作者:关于秋天的树叶作文5篇)
坐最后一排好吗-
Web常见漏洞修复建议⼀、SQL注⼊修复建议1.过滤危险字符,例如:采⽤正则表达式匹配union、sleep、and、select、load_file等关键字,如果匹配到则终⽌运⾏。2.使⽤预编译语句,使⽤PDO需要注意不要将变量直接拼接到PDO语句中,⽽是使⽤占位符实现对数据库的增删改查。⼆、XSS修复建议1.过滤输⼊的数据,例如:“ ‘ ”,“ “ ”,” < “,” > “,” on* “等危险字符。2.对输出到页⾯的数据进⾏相应的编码转换,如HTML实体编码、JS编码等。三、CSRF修复建议1.验证请求的Referer是否来⾃本⽹站,但可被绕过。2.在请求中加⼊不可伪造的token,并在服务端验证token是否⼀致或正确,不正确则丢弃拒绝服务。四、SSRF修复建议1.限制请求的端⼝只能为web端⼝,只允许HTTP和HTTPS请求2.限制不能访问内⽹的IP,防⽌内⽹被攻击3.屏蔽请求返回的详细信息五、⽂件上传修复建议1.通过⽩名单的⽅式判断⽂件后缀是否合法2.对上传后的⽂件重命名,并且⾃定义添加后缀六、暴⼒破解漏洞修复建议1.如果⽤户登录次数超过设置的阈值,则锁定帐号(有恶意登录锁定帐号的风险)2.如果某个 IP登录次数超过设置的阈值,则锁定IP3.增加⼈机验证机制七、代码或命令执⾏修复建议1.减少或不使⽤代码或命令执⾏函数2.客户端提交的变量在放⼊函数前进⾏检测3.减少或不使⽤危险函数⼋、越权漏洞修复建议1.在⼀些操作时可以使⽤session对⽤户的⾝份进⾏判断和控制