軟體網站安全性的設計與檢測與解決方案

軟體網站安全性的設計與檢測與解決方案 

安全性測試主要從以下方面考慮：

  1.SQL Injection(SQL注入)

見“防止SQL注入解決方案”一文

  2.Cross-site scritping(XSS):(跨網站指令碼攻擊)

見“XSS跨網站指令碼攻擊解決方案”一文

  3.CSRF:(跨網站偽造請求)
 4.Email Header Injection(郵件標題注入)  
  5.Directory Traversal(目錄遍曆)
 6.exposed error messages(錯誤資訊)

7管理入口尋找；

8認證繞過

a.使用者敏感資料查看時，要確定許可權，只可以看本人的。

b.敏感資料修改提交時，也要確定許可權，是本人的

c.使用者自啟用時，需要設定一次性使用及使用到期日。串連字串用3DES加密，不得出現明文字串。

D.修改密碼時，要求輸入原密碼驗證。

9.上傳檔案漏洞

10.程式架構安全性

a.儘可能採用CS架構

b.網站的前台沒辦法必須用WEB形式，但是後台管理可以做成CS的。

c.程式語言上採用.NET,JAVA   

11.設定檔安全性

很多時候，我們的資料庫密碼等放在設定檔裡，而這個設定檔是明文的。很容易被人利用，解決方案是採用用密文儲存，用3DES加密……密鑰直接寫在代碼裡，切不可放在明文檔案中……

12.使用了HTTPS了嗎

13.COOKIE的安全性

見“”提高COOKIE的安全性－－相關解決方案“”，主要採用3DES加密 cookie==3des(“值，時間,IP戳”);

14.電子商務表單價格修改的問題

使用MD5簽名驗證即可。

14.SESSION安全性

不可以以判定SESSION為空白來判斷許可權，必須設一個明確的值 

15.進行服務端驗證

不可以僅依賴用戶端驗證。