越权问题
问题叙述:存在权限管理不当的问题,导致用户可以越权访问资源。
改动提议:强化用户权限认证机制。
留意:通常,这种问题涉及到不同权限用户之间的资源访问,如浏览历史、cookie,以及标识符的篡改等。
密文传送
问题叙述:动态口令的安全性维护不足,导致网络攻击者可以使用专门工具从互联网中截取有效的动态口令数据。
改动提议:加强登录密码的多层次加密以避免破解。
留意:所有的登录密码都应当经过严格的数据加密,采用复杂的加密方式,避免使用过于简单或者容易破解的方法,比如MD5。
SQL注入
问题叙述:网络攻击者利用SQL注入漏洞获取数据库查询中的各种信息,包括后台管理系统的登录密码,并进一步泄露数据库中的内容。
改动提议:对输入的主要参数进行严格的过滤和验证,采用黑名单和白名单的方法。
留意:过滤和验证应当覆盖系统内所有的关键参数。
跨站脚本攻击
问题叙述:由于未对输入内容进行校验,网络攻击者可以巧妙地注入恶意代码到网页中,通常是JavaScript,但也可能包括Java、VBScript、ActiveX、Flash或普通HTML,成功后攻击者可以获取更高的权限。
改动提议:对用户输入内容进行过滤和校验,同时对输出内容进行HTML实体编码。
留意:过滤、校验和HTML实体编码应当应用于所有关键参数。
后台管理地址泄漏
问题叙述:后台管理地址过于简单,容易受到网络攻击。
改动提议:更改后台管理地址链接,采用复杂的命名方式。
文件目录遍历漏洞
问题叙述:暴露了文件目录信息,包括编程语言和网站结构。
改动提议:修改相关配置以防止显示目录列表。
CSRF(跨站请求伪造)
问题叙述:攻击者未经用户知情的情况下利用已登录用户执行操作。
改动提议:引入令牌认证、时间戳或图形验证码等措施以增加安全性。
如果你感觉以上措施较为繁琐,你也可以考虑使用云WAF产品,如阿里云、华为云、剑盾云防线等付费产品,或是免费的GOODWAF、jswaf等,这些产品能够有效提高网站的安全性,防止遭受攻击。
