让我们的服务安全一点

时间：2014-12-07 13:51:49 阅读：136 评论：0 收藏：0 [点我收藏+]

面对XSS（cross site scripting，跨站脚本攻击，在网页中嵌入恶意脚本，以盗取客户端cookie，等，下载木马程序，获取客户端admin权限等），在我们的程序中对输入代码进行转义；

面对CRSF（cross site request forgery，跨站请求伪造），我们一般将cookie 设置成readonly；增加token；通过referer识别等；

面对SQL注入（将SQL命令伪装成http请求），我们一般使用预编译语句；使用ORM框架；避免密码明文存储等；

面对文件上传漏洞（利用服务器没有对上传文件进行校验，从而上传恶意脚本），我们读取上传文件的前28个字节，转成16进制数，与文件头比较，判断文件类型。

常见文件联系如下：

JPEG：FFD8FF
PNG:89504E47
GIF:47494638
TIFF:49492A00
BMP:424D
DWG:41433130
PSD:38425053
XML:3C3F786D6C
HTML:68746D6C3E
PDF:255044462D312E
ZIP:504B0304
RAR:52617221
WAV:57415645
AVI:41564920

面对DDOS(distributed denial of service，分布式拒绝服务攻击，利用合理客户端请求来过多占用服务器资源，导致客户不可用），我们一般就需要第三方的合作伙伴了...呵呵

让我们的服务安全一点

标签：http ar os 使用 for on 文件代码 ad

原文地址：http://blog.csdn.net/wireless_com/article/details/41786743

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行