网站常见高中危漏洞重点提示

网站常见高中危漏洞重点提示漏洞名称漏洞级别描述修复建议跨站脚本XSS漏洞高网站部分页面对用户可控参数未做过滤限制常用的修补方式为在服务端禁止或者转义用户提交数据中的HTML代码。推荐对站内所有用户提交的数据使用白名单限制，将用户提交的数据规定在限定的字符。SQL注入漏洞高SQL注入漏洞是由于网站开发时对用户提交查询参数缺少限制一般来讲，可通过以下2个方面实现：a)数据查询参数化：SQL注入是由攻击者篡改查询数据以修改查询逻辑导致的，因此防止SQL注入攻击最好的方法是将查询逻辑与查询数据分离，可防止执行从用户输入插入的命令。b)验证用户输入的类型和格式：推荐使用白名单制将用户输入的内容定义为相关字段仅接受特定账号或特定账户类型，或其他字段仅接受整数或英文字母，可有效防止SQL注入。也有程序员习惯使用黑名单制，将已知的错误数据（如半角单引号、大于号、小于号、and、select、union、delete、drop、or等等）转义或过滤，但由于无法提前知道错误数据的所有形式，所以更推荐使用白名单机制。弱口令漏洞高被测站点存在登录页面密码暴力猜解缺陷a)如非必须建议删除此类简易的登录窗口；b)建议强制性用户设置的密码长度为8位以上，并且密码要包含大小字母、数字、符号。应用程序错误中攻击者构造错误参数或畸形请求进行提交，发送至后台处理从而引起500错误发生，可能造成站点敏感信息泄露网页脚本编写时，应充分考虑到参数变量类型和长度，在程序中做限制和判断，并在后台处理出错后做容错处理再返回给浏览者，以避免将攻击者构造的畸形请求发送至后台处理从而引起500错误发生。敏感信息传输应对登录请求、账号密码等敏感信息在传输过程中通过加密手段进行保护。请在应用开发编码过程中注意避免形成上述漏洞，降低网络安全隐患！