A. 通常可能帶來Web站點上的安全問題有哪些
1,給web服務端帶了的問題:
a,SQL注入,組要是由web代碼和資料庫交互時候導致的。不過這個問題可以通過一些框架可以方便的解決,如java的ibatis或者mybatis框架。
b,web伺服器配置錯誤,如開啟了put,delete方法。這些可以通過修對應的web伺服器配置解決,如apache,iis的配置。
c,web應用伺服器的錯誤配置,如jboss,tomcat的配置。同樣適用安全的配置方法可以解決。
d,web應用代碼邏輯導致的問題,如上次漏洞,系統命令注入漏洞,url跳轉漏洞,等等。
2,給客戶端帶來的問題。
a,XSS
b,CSRF
d,url跳轉。
B. Web應用常見的安全漏洞有哪些
Web應用常見的安全漏洞:
1、SQL注入
注入是一個安全漏洞,允許攻擊者通過操縱用戶提供的數據來更改後端SQL語句。當用戶輸入作為命令或查詢的一部分被發送到解釋器並且欺騙解釋器執行非預期的命令並且允許訪問未授權的數據時,發生注入。
2、跨站腳本攻擊 (XSS)
XSS漏洞針對嵌入在客戶端(即用戶瀏覽器而不是伺服器端)的頁面中嵌入的腳本。當應用程序獲取不受信任的數據並將其發送到Web瀏覽器而未經適當驗證時,可能會出現這些缺陷。
3、跨站點請求偽造
CSRF攻擊是指惡意網站,電子郵件或程序導致用戶的瀏覽器在用戶當前已對其進行身份驗證的受信任站點上執行不需要的操作時發生的攻擊。
4、無法限制URL訪問
Web應用程序在呈現受保護的鏈接和按鈕之前檢查URL訪問許可權 每次訪問這些頁面時,應用程序都需要執行類似的訪問控制檢查。通過智能猜測,攻擊者可以訪問許可權頁面。攻擊者可以訪問敏感頁面,調用函數和查看機密信息。
5、不安全的加密存儲
不安全的加密存儲是一種常見的漏洞,在敏感數據未安全存儲時存在。用戶憑據,配置文件信息,健康詳細信息,信用卡信息等屬於網站上的敏感數據信息。
(2)web開發安全問題有哪些擴展閱讀
web應用漏洞發生的市場背景:
由於Web伺服器提供了幾種不同的方式將請求轉發給應用伺服器,並將修改過的或新的網頁發回給最終用戶,這使得非法闖入網路變得更加容易。
許多程序員不知道如何開發安全的應用程序。他們的經驗也許是開發獨立應用程序或Intranet Web應用程序,這些應用程序沒有考慮到在安全缺陷被利用時可能會出現災難性後果。
許多Web應用程序容易受到通過伺服器、應用程序和內部已開發的代碼進行的攻擊。這些攻擊行動直接通過了周邊防火牆安全措施,因為埠80或443(SSL,安全套接字協議層)必須開放,以便讓應用程序正常運行。
C. web的安全威脅有哪幾個方面
1、來自伺服器本身及網路環境的安全,這包括伺服器系統漏洞,系統許可權,網路環境(如ARP等)、網路埠管理等,這個是基礎。
2、來自WEB伺服器應用的安全,IIS或者Apache等,本身的配置、許可權等,這個直接影響訪問網站的效率和結果。
3、網站程序的安全,這可能程序漏洞,程序的許可權審核,以及執行的效率,這個是WEB安全中佔比例非常高的一部分。
4、WEB Server周邊應用的安全,一台WEB伺服器通常不是獨立存在的,可能其它的應用伺服器會影響到WEB伺服器的安全,如資料庫服務、FTP服務等。
這只是大概說了一下,關於WEB應用伺服器的安全從來都不是一個獨立存在的問題。
web常見的幾個漏洞
1. SQL注入。SQL注入攻擊是黑客對資料庫進行攻擊的常用手段之一。
2. XSS跨站點腳本。XSS是一種經常出現在web應用中的計算機安全漏洞,它允許惡意web用戶將代碼植入到提供給其它用戶使用的頁面中。
3. 緩沖區溢出。緩沖區溢出漏洞是指在程序試圖將數據放到及其內存中的某一個位置的時候,因為沒有足夠的空間就會發生緩沖區溢出的現象。
4. cookies修改。即使 Cookie 被竊取,卻因 Cookie 被隨機更新,且內容無規律性,攻擊者無法加以利用。另外利用了時間戳另一大好處就是防止 Cookie 篡改或重放。
5. 上傳漏洞。這個漏洞在DVBBS6.0時代被黑客們利用的最為猖獗,利用上傳漏洞可以直接得到WEBSHELL,危害等級超級高,現在的入侵中上傳漏洞也是常見的漏洞。
6. 命令行輸入。就是webshell ,拿到了許可權的黑客可以肆意妄為。
D. Web應用常見的安全漏洞有哪些
OWASP總結了現有Web應用程序在安全方面常見的十大漏洞分別是:非法輸入、失效的訪問控制、失效的賬戶和線程管理、跨站腳本攻擊、緩存溢出問題、注入式攻擊、異常錯誤處理、不安全的存儲、程序拒絕服務攻擊、不安全的配置管理等。
非法輸入
Unvalidated Input
在數據被輸入程序前忽略對數據合法性的檢驗是一個常見的編程漏洞。隨著OWASP對Web應用程序脆弱性的調查,非法輸入的問題已成為大多數Web應用程序安全漏洞方面的一個普遍現象。
失效的訪問控制
Broken Access Control
大部分企業都非常關注對已經建立的連接進行控制,但是,允許一個特定的字元串輸入可以讓攻擊行為繞過企業的控制。
失效的賬戶和線程管理
Broken Authentication and Session Management
有良好的訪問控制並不意味著萬事大吉,企業還應該保護用戶的密碼、會話令牌、賬戶列表及其它任何可為攻擊者提供有利信息、能幫助他們攻擊企業網路的內容。
跨站點腳本攻擊
Cross Site Scripting Flaws
這是一種常見的攻擊,當攻擊腳本被嵌入企業的Web頁面或其它可以訪問的Web資源中,沒有保護能力的台式機訪問這個頁面或資源時,腳本就會被啟動,這種攻擊可以影響企業內成百上千員工的終端電腦。
緩存溢出問題
Buffer Overflows
這個問題一般出現在用較早的編程語言、如C語言編寫的程序中,這種編程錯誤其實也是由於沒有很好地確定輸入內容在內存中的位置所致。
注入式攻擊
Injection Flaws
如果沒有成功地阻止帶有語法含義的輸入內容,有可能導致對資料庫信息的非法訪問,在Web表單中輸入的內容應該保持簡單,並且不應包含可被執行的代碼。
異常錯誤處理
Improper Error Handling
當錯誤發生時,向用戶提交錯誤提示是很正常的事情,但是如果提交的錯誤提示中包含了太多的內容,就有可能會被攻擊者分析出網路環境的結構或配置。
不安全的存儲
Insecure Storage
對於Web應用程序來說,妥善保存密碼、用戶名及其他與身份驗證有關的信息是非常重要的工作,對這些信息進行加密則是非常有效的方式,但是一些企業會採用那些未經實踐驗證的加密解決方案,其中就可能存在安全漏洞。
程序拒絕服務攻擊
Application Denial of Service
與拒絕服務攻擊 (DoS)類似,應用程序的DoS攻擊會利用大量非法用戶搶占應用程序資源,導致合法用戶無法使用該Web應用程序。
不安全的配置管理
Insecure Configuration Management
有效的配置管理過程可以為Web應用程序和企業的網路架構提供良好的保護。
以上十個漏洞並不能涵蓋如今企業Web應用程序中的全部脆弱點,它只是OWASP成員最常遇到的問題,也是所有企業在開發和改進Web應用程序時應著重檢查的內容。
E. 作為一個WEB應用開發程序員,在WEB應用開發過程中要注意哪些安全問題
SQL注入攻擊,XSS腳本攻擊,URL頁面傳參<例如:window.location.href='index.aspx?id=1'>,緩存的應用<防止讀臟數據,未更新的數據>
解決方法:
SQL注入攻擊:通過對輸入內容的檢測,例如:檢測關鍵字,即查看輸入的內容裡面是不是有Update insert select Delete 等關鍵字!
XSS腳本攻擊:檢測輸入內容輸入內容是否含有< > <script> <p> <a> 等HTML標記!
參數攻擊:直接在URL中更換參數,查看一些自己沒有許可權查看的內容!即所謂的跨許可權查看。
緩存的應用:使用緩存,就應該及時更新緩存,以防止讀舊數據,臟數據等,也可以使用緩存替換技術!等等等吧!好多呢!ca
F. web伺服器可能存在的安全問題有哪些
1、來自伺服器本身及網路環境的安全,這包括伺服器系統漏洞,系統許可權,網路環境(如ARP等)專、網屬絡埠管理等,這個是基礎。
2、來自WEB伺服器應用的安全,IIS或者Apache等,本身的配置、許可權等,這個直接影響訪問網站的效率和結果。
3、網站程序的安全,這可能程序漏洞,程序的許可權審核,以及執行的效率,這個是WEB安全中佔比例非常高的一部分。
4、WEB Server周邊應用的安全,一台WEB伺服器通常不是獨立存在的,可能其它的應用伺服器會影響到WEB伺服器的安全,如資料庫服務、FTP服務等。
G. WEB開發中需要注意哪些安全問題
1.對所有提交數據的過濾判斷,防止跨站攻擊等。
2.防範SQL語句注入攻擊,對地址欄參數進行過濾。
3.編寫代碼不嚴謹導致的bug。
4.用驗證碼等驗證機制防止暴力破解和大量垃圾信息提交。
5.不把網站錯誤信息顯示在前台。
6.所有頁面做好許可權授權驗證。
7.目錄文件訪問控制。
8.機密數據用sha1或其它方法加密。
9.合理分配資料庫許可權。
10.管理員意識培訓,防止弱密碼或被社會工程學獲得許可權。
H. WEB網站面臨的安全性問題有哪些什麼是WEB欺騙如何建立WEB安全體系
WEB欺騙我們是web的製作者,欺騙spider,欺騙爬蟲做惡意優化。
繞過js,從而繞過入口數據合法性驗證。
易受SQL注入攻擊
密鑰的安全性
xss攻擊
對於我們程序員來說,首先應該把精力放:提交內容包括URL、查詢關鍵字、http頭、post數據可靠的輸入驗證上。
操作留痕、備份與恢復