网站常见安全漏洞问题与防御解决方法



密码存储,存储在数据库中的帐户密码不能以纯文本存储,需要加密,md5转换、加盐(相邻

密码等)是常用的加密方法
帐户盗窃的常见原因:密码太常见;密码太简单;拖库;撞库。
 
 
网络安全,防止sql注入攻击并验证任何外部输入数据的有效性,xss(跨站点脚本攻击)包括

两种类型:基于dom的和基于存储的。防止xss攻击的主要方法是检测用户提交的数据中是否

有可执行脚本,并将html标记转换为纯文本。csrf(跨站点请求伪造)实质上是一个不区分请

求是由用户自愿启动还是由其他站点模拟的浏览器。避免措施包括区分当前请求的源站点,

在表单中添加校验符等。
 
 
 
arp(地址解析协议)当主机ainlan使用arp协议获取主机b的ip和mac地址时,主机c可以模拟

主机b返回ip和mac地址以实现攻击或数据盗窃,arp攻击可能导致网络中断或中介攻击解决

方案:配置可信的ip/mac地址映射关系。
 
 
ddos攻击,通过向服务器发送大量无用的请求,服务器资源(cpu、memory等)耗尽,导致

服务不正常运行,正常请求不响应,两种实现方式:阻塞交通攻击;通过肉鸡构建僵尸网络

,使用命令发动攻击m,解决办法:增加资源负担;寻找专业的DDOS防护服务。
 
 
 
将应用下载下来后反编译,植入自己的代码后再二次打包和分发,实现自己所需的广告显示

设置是牛皮癣广告,从而带来非法收益,解决方案:校验签名;加固处理使得无法反编译或

者无法二次打包。病毒传播:伪造:假装并诱使用户打开源文件,发布主程序:病毒将主程

序发布到计算机中的其他目录,以防止病毒文件被删除。addboot:病毒将其信息添加到注

册表并从注册表中删除杀毒软件,自复制:病毒将可执行文件复制到每个硬盘的根目录,并

更改autoun.inf文件内容,允许用户在触发病毒运行时打开磁盘,beaking:在shell加载并作

为数据存储在文件中之后,病毒被压缩。当病毒开始时,shell加载到内存中,解密并解压sh

ell,最终释放到内存中运行,通信:通过网络共享、u磁盘等快速复制。
 
 
 
session(会话)解决了HTTP无状态的问题,相当于给每个用户分配身份,从而完成对用户

的识别,并将用户多次不同的操作关联在一起
session机制指服务端记住用户的能力,同时

需要客户端cookie机制辅助实现.
 
 
 
生成唯一ID,数据库的ID自增长,UUID:32个十六进制的数字,以连字号分为五段;ID长

度长,重复概率低,不依赖于中央服务器,没有网络耗时,生成效率高,雪花算法:41bit

时间戳+10bit工作机器ID+12bit序列号;生成的ID长度短,更加节省空间。
分享: