首页
学习
活动
专区
圈层
工具
发布
社区首页 >问答首页 >web应用程序攻击,必须有防御方法

web应用程序攻击,必须有防御方法
EN

Stack Overflow用户
提问于 2009-02-04 15:45:15
回答 6查看 545关注 0票数 6

对于常见的web攻击,如XSSSql Injection拒绝服务等,您必须有哪些防御方法?

编辑:,我从维基百科收集了你的回复。我补充了一些额外的问题,以便有一个完整的参考。

Sql注入 SQL注入是一种代码注入技术,它利用应用程序数据库层中出现的安全漏洞。当用户输入被错误筛选为嵌入在SQL语句中的字符串文字转义字符时,或者用户输入没有强类型,从而意外地执行时,就会出现此漏洞。当一种编程或脚本语言嵌入到另一种编程或脚本语言中时,它是一个更通用的漏洞类的实例。

  • 不要信任用户输入,并尽早验证它。
  • 不要从原始用户输入-使用参数构建SQL。

跨站点脚本(XSS) 跨站点脚本是一种通常在web应用程序中发现的计算机安全漏洞,它允许恶意web用户将代码注入其他用户查看的网页。此类代码的示例包括HTML代码和客户端脚本。攻击者可以使用受攻击的跨站点脚本漏洞绕过访问控制,例如相同的源策略。

  • 不要逐字输出或执行用户提交的内容。
  • HTML-编码所有输出。

拒绝服务攻击 拒绝服务攻击(DoS攻击)或分布式拒绝服务攻击(DDoS攻击)是试图使计算机资源对其预期用户不可用的行为。虽然实施DoS攻击的手段、动机和目标可能各不相同,但它通常包括一个或多个人协调一致的恶意努力,以防止互联网网站或服务的有效运作,或暂时或无限期地运作。

我知道,以编程方式避免拒绝服务攻击似乎是不可能的,但你认为呢?

Brute部队攻击 在密码分析中,蛮力攻击是一种通过系统地尝试大量可能性来击败密码方案的方法;例如,为了解密一条消息,在密钥空间中有大量可能的密钥。在大多数方案中,人们都认识到了蛮力攻击的理论可能性,但其设置方式在计算上是不可行的。

  • 每当太多登录尝试出错时,就锁定一个帐户。永远不要允许无限的重试。
  • 输入错误的密码时添加延迟。

一些额外的问题:

  • 你对试图根据内容发布输入的网络机器人有何看法?例如,使用图像验证也是如此。
  • 您对javascript about 函数有什么看法?
  • 是否有一种方法可以访问服务器上没有暴露在外部的内容。例如,我有一个页面将一些重要的记录插入到我的数据库中,只有我知道它是url。有办法得到这类文件吗?我知道你可以为它设定一些安全规则。

(注意:禁用了目录列表,我保存了这些文件。)

谢谢你的回复!

EN

回答 6

Stack Overflow用户

发布于 2009-02-04 15:57:26

你的问题范围很广。我试着给你指点。如果你能更清楚地说明你的问题,我可以给你一些更具体的信息。

  1. 从来没有,从来没有信任用户的输入。必须验证应用程序中可以从外部操作的所有内容。
  2. 从不将密码以纯文本形式存储在数据库中。只存储散列(用盐)。计算用户提供的密码的哈希值,并比较哈希数。
  3. 当太多登录尝试出错时,锁定一个帐户。永远不要允许无限的重试。
  4. 当使用产品或框架时,保持在这些产品的邮件列表的顶端,识别安全问题。当基础框架有安全漏洞时,请准备好升级计划。
  5. 在使用数据库时,不要允许每个人都完全访问数据库(即使使用存储过程限制对数据库的访问)。如果某人只需要读取某些数据,请不要使用也可以修改数据的SQL-帐户。
  6. 关于你的问题:“有没有一种方法可以访问服务器上不暴露在外部的内容。例如,我有一个页面将一些重要的记录插入到我的数据库中,只有我知道它是url。有没有办法获取这类文件?我知道你可以为它设置一些安全规则。” 您可能会认为,有人不能访问您的网页,仅仅是因为他们不知道网址。这是通过默默无闻的实现的安全,从长远来看永远不会起作用。Google索引爬行器将简单地尝试遍历整个站点,并索引它能够访问的每一个页面。如果有包含敏感信息的页面,则添加身份验证和授权机制。
票数 6
EN

Stack Overflow用户

发布于 2009-02-04 15:49:23

对于XSS和SQL注入:不要逐字输出或执行用户提交的内容。

票数 3
EN

Stack Overflow用户

发布于 2009-02-04 17:10:51

  • 尽可能早地验证所有内容。
  • 不要从原始用户输入-使用参数构建SQL。
  • HTML-编码所有输出。
票数 2
EN
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:

https://stackoverflow.com/questions/511907

复制
相关文章

相似问题

领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档