如何檢測前端頁面的安全性?怎樣避免web頁面攻擊?
WEB基本攻擊大致可以分為三大類—— “資源列舉”、“引數操縱” 和 “其它攻擊”
資源列舉:遍歷站點所有可訪問的目錄,然後把一些常見的備胎檔名(比如“sql.bak”、“index-副本.html”)一個個都列舉一下,如果運氣好列舉到了就直接下載。
引數操縱:包括了SQL隱碼攻擊、XPath注入、cgi命令執行,還有XXS和會話劫持等,xxs攻擊指的是惡意攻擊者往Web頁面裡插入惡意html程式碼,當使用者瀏覽該頁之時,嵌入的惡意html程式碼會被執行,從而達到惡意使用者的特殊目的。
cookie劫持:透過獲取頁面的許可權,在頁面中寫一個簡單的到惡意站點的請求,並攜帶使用者的cookie,獲取cookie後透過cookie 就可以直以被盜使用者的身份登入站點。
解決方案:
永遠不要相信客戶端傳來的任何資訊,對這些資訊都應先進行編碼或過濾處理
謹慎返回使用者輸入的資訊
使用黑名單和白名單處理(即“不允許哪些敏感資訊”或“只允許哪些資訊”,白名單的效果更好但侷限性高)
檢查、驗證請求來源,對每一個重要的操作都進行重新驗證
使用SSL防止第三方監聽通訊(但無法阻止XSS、CSRF、SQL隱碼攻擊)
不要將重要檔案、備份檔案存放在公眾可訪問到的地方
會話ID無序化
對使用者上傳的檔案進行驗證(不單單是格式驗證,比方一張gif圖片還應將其轉為二進位制並驗證其每幀顏色值<無符號8位>和寬高值<無符號16位>)
WSDL文件應當要求使用者註冊後才能獲取
希望以上的分享能幫到大家,想了解前端哪方面的知識,歡迎在評論中留言。
本文來自千鋒教育,轉載請註明出處。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31548651/viewspace-2776890/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- web頁面測試Web
- 如何避免在網頁抓取時被檢測到?網頁
- web頁面效能測試Web
- 避免自動駕駛事故,CV領域如何檢測物理攻擊?自動駕駛
- 前端頁面測試如何定位漏測程式碼前端
- 如何檢測頁面是否進行了縮放
- PbootCMS前端頁面樣式丟失boot前端
- Web 前端頁面劫持和反劫持Web前端
- web頁面Web
- appium 如何檢測頁面文案是否正確APP
- 如何用手機測試自己寫的web頁面Web
- 搭建自動化 Web 頁面效能檢測系統 —— 部署篇Web
- 前端頁面效能前端
- java抓取HTML頁面的資料(淘寶頁面),JavaHTML
- 如何監控前端頁面FPS前端
- 用PerformanceTiming來檢測頁面效能ORM
- web頁面中接入空號檢測API教程,實現視覺化號碼檢測WebAPI視覺化
- fastadmin: 避免引入頁面同名jsASTJS
- 如何避免重複性地做資料維護頁面?
- web前端技術分享之頁面元素水平居中Web前端
- python怎樣抓取js生成的頁面PythonJS
- 使用QTP進行WEB頁面效能測試QTWeb
- Web頁面或app等前端頁面之Java Web的JSP、Servlet、Cookie、Session等技術小結WebAPP前端JavaJSServletCookieSession
- 如何檢測頁面是否有重複的id屬性值
- javascript獲取當前頁面的來路頁面地址JavaScript
- 什麼是DOM?如何構建web頁面Web
- 「前端」weex頁面傳參前端
- 預防ddos攻擊檢測
- jquery實現頁面離開時檢測當前頁面是否被修改,修改則提示jQuery
- web頁面引用相關檔案或者頁面方式彙總Web
- Asp.Net MVC5 檢視頁面編譯呼叫流轉過程,以及頁面Web展示ASP.NETMVC編譯Web
- 在web工程中設定首頁的頁面Web
- Web頁面中的“門”—Web端登入頁的設計Web
- 如何關閉移動web頁面縮放功能Web
- jquery實現的iframe子頁面和父頁面的相互操作jQuery
- 網站頁面原始碼,前端頁面的最基本組成形式,網頁到底是什麼? 網站開發教程網站原始碼前端網頁
- uni-app 頁面樣式APP
- 多維分析前端頁面卡頓不流暢怎麼辦前端