Partagez des solutions à plusieurs risques courants en matière de sécurité Web

Voici plusieurs problèmes et solutions courants en matière de sécurité Web. J'espère qu'ils pourront être utiles à tout le monde.

1. Cross Site Scripting

Solution

xss se produit parce que les données saisies par l'utilisateur deviennent du code, il faut donc effectuer un traitement d'échappement HTML sur les données saisies par l'utilisateur. , et échappez et encodez les caractères spéciaux tels que les « crochets angulaires », les « guillemets simples » et les « guillemets doubles ».

2. Injection SQL

Lorsque vous signalez une erreur, essayez d'utiliser la page d'erreur pour écraser les informations de la pile

3. -falsification de demande de site (Cross- Site Request Forgery)

Solution

(1) Définir les cookies sur HttpOnly

server.xml est configuré comme suit

<Context docBase="项目" path="/netcredit" reloadable="false" useHttpOnly="true"/>

web.xml est configuré comme suit

(2) Ajouter un jeton

Ajoutez un champ masqué au formulaire, soumettez le champ masqué lors de la soumission, et le serveur vérifie le jeton.

(3) Identification via referer

Selon le protocole HTTP, il y a un champ dans l'en-tête HTTP pour Referer, qui enregistre l'adresse source de la requête HTTP. Si un attaquant souhaite mettre en œuvre une attaque CSRF, il doit falsifier des requêtes provenant d'autres sites. Lorsqu'un utilisateur envoie une requête via un autre site Web, la valeur du Referer demandé est l'URL de l'autre site Web. Par conséquent, la valeur du Referer peut être vérifiée pour chaque demande.

4. Vulnérabilité de téléchargement de fichiers

J'opère souvent sur Internet et je télécharge des images et des fichiers sur le serveur pour les stocker. les fichiers ne sont pas traités. Une vérification correcte amènera certains attaquants malveillants à télécharger des virus, des chevaux de Troie, des plug-ins, etc. sur le serveur, à voler des informations sur le serveur et même à provoquer le crash du serveur.

Par conséquent, les fichiers téléchargés doivent être vérifiés. Les premiers octets de nombreux fichiers sont corrigés. Par conséquent, en fonction du contenu de ces quelques octets, le type du fichier peut être déterminé. également appelés nombres magiques.

Définir une liste blanche de types

Recommandations associées : Sécurité du serveur Web

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!