码迷,mamicode.com
首页 > Web开发 > 详细

web安全记录

时间:2016-04-11 15:46:32      阅读:143      评论:0      收藏:0      [点我收藏+]

标签:

前端

CSRF 跨站请求伪造
  客户端添加伪随机数,后台验证
  验证码
中间人攻击
  SSL证书加密
xss(跨站脚本攻击)漏洞,微软的字符检验(自动)
  文本展示编码处理
  做标签展示的文本尤其过滤脚本
Cookie HttpOnly
  HttpOnly情况下js不能操作cookie,在一定情况下能够保证安全性
域设置
  cookie域匹配(domian match)原则:Domain 形如.abc.com的cookie,会被发送给所有abc.com在80端口上的子域请求。反之不行。
  最小化授权
Secure 启用此属性,浏览器仅仅会在Https请求中发送Cookie
Cookie 基础
  名称不能包含特殊字符,转码后可以
  值可以转码或加密
  Expires 过期时间,GMT格式,不设时间关闭浏览器时自动删除,
  Path 允许的路劲,"/" 表示全站
  Domain 子域,
  Secure 如果启用则只能https能访问
  HttpOnly 脚本(js,applet)无法读取到Cookie信息

后台

Sql注入
  预编译语句,就是客户端输入的数据作为参数传入sql中,不直接拼接
  关闭错误显示,避免暴漏程序结构
  数据库连接账户权限限制,(单独数据库的数据增删改查)
文件上传
  后缀名判断(限制在图片格式)
  判断文件前两个字符,如png的前两个二进制字符为8950,jpg为ffd8
  用图片类初始化 获取width,height <=0的 屏蔽
  文件重命名 (默认不显示目录,改名后,攻击者很访问)
认证与会话管理
  密码 长度,组合,加密处理,3次后验证码,最多5次 封ip,支付密码,短信验证码
  session过期时间
访问权限控制
  后台权限系统,角色-功能点

 

web安全记录

标签:

原文地址:http://www.cnblogs.com/heroy/p/5378670.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!