做WEB開發的時候，前端與後端我們應該要注意哪些細節，哪些容易出現的漏洞？

標籤：

　　寫這篇文章的時候，我和團隊正在處理項目漏洞問題，發現這些都是細節但又容易在項目實現的過程中忽視的部分，鑒於此，我想總結下來，方便以後出現類似問題能及時得到解決。

　　1、任意檔案上傳漏洞。

　　　   描述：允許使用者上傳任意檔案可能讓攻擊者注入危險內容或惡意代碼，並在伺服器上運行。

　　　　利用：檔案上傳可以修改尾碼導致可以上傳任意檔案，任意檔案上傳後都會返回SUCCESS成功。

　　　　方案：通過擷取檔案流對檔案資訊頭部某些特殊的資訊進行驗證判斷，這樣及時想通過修改檔案尾碼也沒法矇騙過關。具體代碼操作可參考這篇博文，

                   http://www.cnblogs.com/bojuetech/p/5907910.html

 

　　2、 登陸密碼明文傳輸

　　　　描述：登陸密碼明文傳輸，cookie中密碼CMD5可以解密。

　　　　利用：通過抓包工具抓包在cookie中發現明文傳輸的使用者名稱和密碼，其中密碼可以通過CMD5解密，此漏洞造成了登陸資訊泄露。

　　　　方案：①禁止將使用者帳號密碼存入本地；

                    ②後台加密增加閥值操作；

 

　　3、 儲存型跨站

　　　　描述：Web程式沒有對攻擊者提交的含有可執行代碼的輸入進行有效校正，在某些頁面返回給訪問改Web程式的任意使用者，導致這些代碼在使用者的瀏覽器進行執行。

　　　　利用：允許攻擊者注入危險內容或惡意代碼

　　　　方案：1、在JAVASCRIPT中展示使用者可控資料，需要對使用者可控資料做轉譯

　　　　　　　2、對使用者輸入的內容進行針對=mailto:[email protected]#$%^&*()_+|\=-{[}]:;&quot;]~!#$%^&*()_+|\=-{[}]:;"‘<,>.?/這些字元的過濾和替換

 

　　4、 Cookie未作安全防護

　　　　描述：攻擊者可利用xss等漏洞進行攻擊擷取使用者cookie資訊，並利用其cookie資訊登入使用者賬戶

　　　　利用：根據xss擷取測試使用者cookie資訊，發現使用者cookie沒有httponly和其他安全防護。當使用者退出登入時，重新發送登入時訪問介面的資料包，可直接擷取使用者登入狀態

　　　　方案：1、設定Cookie http only屬性；

　　　　　　　2、直接去掉登入頁面的儲存密碼功能；

 

　　5、 Apache tomcat版本資訊泄露

　　　　描述：攻擊者可從中的值apache tomcat的版本資訊

　　　　利用：有經驗的開發人員或hacker們可以從 這些目錄得知當前網站的資訊，如開發語言、伺服器系統、網站結構，甚至一些敏感的資訊。並根據其版本資訊及已知公開漏洞進行攻擊

　　　　方案：對apche tomcat進行相關配置。

 

 

以上是基本漏洞，對於這些漏洞暫時現給出大概的描述，對於具體處理，後續會陸續推出具體解決思路與代碼。

感謝支援！

 

做WEB開發的時候，前端與後端我們應該要注意哪些細節，哪些容易出現的漏洞？