网站安全防护的几个重点防御内容



     硬编码认证。出于测试的目的,开发人员通常将验证信息放在应用程序的初始化文件中。我们需

要去掉这些硬编码的认证信息,用集中存储的安全信息来代替。重要的是将数据存储在安全的位置

,而不是存储在网络应用服务器上,这样黑客就不能轻松地看到可用于访问应用程序的凭据。如果

您的应用程序确实需要一些初始化文件,请确保这些文件位于Web根目录之外,以防止黑客意外发

现它们。
 
 
发现隐藏或受限的文件/目录。当应用程序允许一些特殊字符(如斜杠或反斜杠)时,黑客可能会发现

隐藏或受限的文件和目录。这些地方可能包含各种信息,可以帮助黑客攻击您的系统。尽可能禁止

使用特殊字符是个好主意。另外,请将重要文件放在操作系统可以直接控制的Web根目录之外。
 
 
身份验证缺失或不正确。知道谁在使用该应用程序很重要,尤其是在处理敏感数据时。许多Web应

用程序依赖公共帐户来执行某些任务,这意味着不可能知道谁访问了该帐户。我们应该避免以任何

理由使用来宾帐户,并为每个用户分配一个单独的帐户。
 
 
授权缺失或不正确。即使您知道谁在使用您的应用程序,有一点很重要:只向用户提供他们执行特定

任务所需的权限。此外,授权应该反映用户的访问模式。例如,桌面系统通过本地网络访问应用程

序可能比智能手机在本地咖啡店访问应用程序更安全。依靠安全改进来协助处理敏感任务可以帮助

您在任务之外的时间内保持最低限度的授权。任何降低用户权限的行为都有助于维护安全环境。
 
 
加密缺失或不正确。使用加密技术在两个终端之间传输数据,可以防止黑客监控通信。重点是跟进

最新的加密技术,依靠用户环境支持的最佳加密算法。例如,三重数据加密(3DES)不再安全,但一

些组织仍然使用它。AES加密方式目前还是安全的,但是你要尽可能使用最长的密钥,让它更难破解。
 
 
操作系统命令注入。攻击者修改应用程序用来执行特定任务的操作系统命令。您的网络应用程序可

能一开始就不应该使用系统调用。但是,如果您必须使用它,请确保您的应用程序在沙箱环境中运

行。有些专家会强调在某些使用场景中需要验证输入数据,而在其他使用场景中则不需要。始终验

证从任何数据源接收的任何数据。你无法知道黑客会用什么工具入侵系统或者如何造成破坏。输入

数据总是可疑的,即使它来自您自己的服务器。当你处理与安全相关的任务时,变得多疑是一件好

事。
 
 
 
参数篡改。黑客尝试请求头或网址中的参数。例如,在使用Google搜索时,可以通过更改URL来更

改搜索结果。请务必加密您在浏览器和服务器之间传递的任何参数。此外,在传递参数时,使用安

全的网络传输协议,如HTTPS。
如果有足够的时间和精力,黑客还是可以操纵参数的。仔细定义

参数的值范围和数据类型也很重要,这可以减少由这种攻击引起的潜在问题。
分享: