如何檢測前端頁面的安全性?怎樣避免web頁面攻擊?

千鋒武漢發表於2021-06-16

  WEB基本攻擊大致可以分為三大類—— “資源列舉”、“引數操縱” 和 “其它攻擊”

如何檢測前端頁面的安全性?怎樣避免web頁面攻擊?

  資源列舉:遍歷站點所有可訪問的目錄,然後把一些常見的備胎檔名(比如“sql.bak”、“index-副本.html”)一個個都列舉一下,如果運氣好列舉到了就直接下載。

  引數操縱:包括了SQL隱碼攻擊、XPath注入、cgi命令執行,還有XXS和會話劫持等,xxs攻擊指的是惡意攻擊者往Web頁面裡插入惡意html程式碼,當使用者瀏覽該頁之時,嵌入的惡意html程式碼會被執行,從而達到惡意使用者的特殊目的。

  cookie劫持:透過獲取頁面的許可權,在頁面中寫一個簡單的到惡意站點的請求,並攜帶使用者的cookie,獲取cookie後透過cookie 就可以直以被盜使用者的身份登入站點。

  解決方案:

  永遠不要相信客戶端傳來的任何資訊,對這些資訊都應先進行編碼或過濾處理

  謹慎返回使用者輸入的資訊

  使用黑名單和白名單處理(即“不允許哪些敏感資訊”或“只允許哪些資訊”,白名單的效果更好但侷限性高)

  檢查、驗證請求來源,對每一個重要的操作都進行重新驗證

  使用SSL防止第三方監聽通訊(但無法阻止XSS、CSRF、SQL隱碼攻擊)

  不要將重要檔案、備份檔案存放在公眾可訪問到的地方

  會話ID無序化

  對使用者上傳的檔案進行驗證(不單單是格式驗證,比方一張gif圖片還應將其轉為二進位制並驗證其每幀顏色值<無符號8位>和寬高值<無符號16位>)

  WSDL文件應當要求使用者註冊後才能獲取

  希望以上的分享能幫到大家,想了解前端哪方面的知識,歡迎在評論中留言。

  本文來自千鋒教育,轉載請註明出處。


來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31548651/viewspace-2776890/,如需轉載,請註明出處,否則將追究法律責任。

相關文章