Web站點常見安全問題

Web站點常見安全問題

認證與授權 

認證：通路網站時需要登入，使用者名和密碼的送出校驗就是認證的過程。 

授權：登入網站後，每個人所能通路的頁面不盡相同，就是授權的作用。

session 與 cookie 

session和cookie提高了使用者體驗，但不應該存放一些敏感資料，如身份證、手機号等。 

另外，不同的web站點的作用域應區分開，以避免出現不必要的麻煩。

Ddos 拒絕服務攻擊 

DdoS的攻擊方式有很多種，最基本的dos攻擊就是利用合理的服務請求來占用過多的服務資源，進而使合法使用者無法得到服務的響應。

Ddos攻擊利用的就是合理的服務請求，是以但凡網站都存在這一風險。既然不可避免，就加強防禦吧。

檔案上傳漏洞 

       檔案上傳漏洞指攻擊者利用程式缺陷繞過系統對檔案的驗證與處理政策将惡意程式上傳到伺服器并獲得執行伺服器端指令的能力。 

        常見方式有： 

             上傳web腳本程式，使web容器解釋執行上傳的檔案； 

             病毒、惡意程式，并誘導使用者下載下傳執行； 

             包含腳本的圖檔，某些浏覽器低版本會執行。

XSS 跨站攻擊 

       xss跨站攻擊即跨站腳本攻擊，百度百科中介紹如下：使用者在浏覽網站、使用即時通訊軟體、甚至在閱讀電子郵件時，通常會點選其中的連結。攻擊者通過在連結中插入惡意代碼，就能夠盜取使用者資訊。攻擊者通常會用十六進制（或其他編碼方式）将連結編碼，以免使用者懷疑它的合法性。網站在接收到包含惡意代碼的請求之後會産成一個包含惡意代碼的頁面，而這個頁面看起來就像是那個網站應當生成的合法頁面一樣。許多流行的留言本和論壇程式允許使用者發表包含HTML和javascript的文章。假設使用者甲發表了一篇包含惡意腳本的文章，那麼使用者乙在浏覽這篇文章時，惡意腳本就會執行，盜取使用者乙的session資訊。

假如攻擊者釋出了一段包含如下代碼的連結

<input type="button" value="button" onclick="alert('哈哈，你要被攻擊了')"/>
           

• 1

不明真相的普通使用者點選了這個按鈕，結果 

同樣，嵌入的代碼可以擷取cookie等資訊，那麼普通使用者的資訊就被攻擊者擷取達到攻擊的目的。

防範：來自應用安全國際組織OWASP的建議，對XSS最佳的防護應該結合以下兩種方法：

           1、驗證所有輸入資料，有效檢測攻擊；

              2、對所有輸出資料進行适當的編碼，以防止任何已成功注入的腳本在浏覽器端運作。 

輸入驗證： 某個資料被接受為可被顯示或存儲之前，使用标準輸入驗證機制，驗證所有輸入資料的長度、類型、文法以及業務規則。 

輸出編碼：資料輸出前，確定使用者送出的資料已被正确進行entity編碼，建議對所有字元進行編碼而不僅局限于某個子集。

跨站請求僞造

跨站請求僞造（Cross-site request forgery）也被稱為one-click attack或者session riding，通常縮寫為CSRF或者XSRF， 是一種挾制使用者在目前已登入的Web應用程式上執行非本意的操作的攻擊方法。 

跟跨網站腳本（XSS）相比，XSS利用的是使用者對指定網站的信任，CSRF 利用的是網站對使用者網頁浏覽器的信任。