Web系統安全初步

2021-09-01 11:10:54 字數 610 閱讀 2706

真是應了那樣一句話:「用到了,才體會深刻」。

近期,安全評估小組對我負責的web系統進行安全檢查,發現了很多漏洞,這些都是我平常沒有注意到的地方,或者認為不是那麼重要的地方。

1,sql注入

(1) 比如,從前端接收乙個id,來查詢或更新資料時,如果id被篡改為id="100 and 1=2",則會查詢為空。

(2) 單引號

可以在執行sql前,使用mysql_escape_string()方法。

注意:yii的activerecord已經考慮該問題。

參考:2,xss漏洞

比如有乙個輸入框:input,輸入了一段」/>「,則在顯示時會引起安全問題。因為他先封閉了html標籤,然後執行一段指令碼。

解決辦法:進行html標籤過濾。

htmlspecialchars方法()

把一些預定義的字元轉換為 html 實體。

預定義的字元是:

& (和號) 成為 &

" (雙引號) 成為 "

' (單引號) 成為 '

< (小於) 成為 <

> (大於) 成為 >

3,定時任務篡改

引數組攜帶ls -al命令,再用system();輸出。

WEB系統安全檢測及修復辦法

系統安全檢測及修復辦法 漏洞介紹 ssl tls suffers bar mitzvah attack 漏洞是由於https 傳輸資料加密使用 rc4加密演算法,存在大約 64個位元組的明文資料會留給攻擊者,存在的安全漏洞較高,主要是由於 web容器開啟了 ssl tls 訪問方式 並未遮蔽 rc4...

系統安全管理

1 禁止root使用者登陸,使用普通使用者登陸再切換root使用者 2 更改ssh連線埠 3 定期更改系統密碼,或使用金鑰的方式連線 4 使用堡壘機管理伺服器 5 編寫指令碼防止ssh暴力破解 1 shell指令碼 bin bash denyhosts shell scripts if d root...

系統安全 Firewall

netfilter iptables是與最新的2.6.x版本linux核心整合的ip資訊包過濾系統。如果linux系統連線到網際網路或lan 伺服器或連線lan和網際網路的 伺服器,則該系統有理由在linux系統上更好的控制ip資訊包過濾和防火牆配置。雖然netfilter iptablesip資訊...