互联网 相关安全问题
下面是一些互联网应用中可能遇到的一些安全问题
??? XSS 攻击
Xss: 就是在网页上发布一些有问题的javascript代码,当用户点击这些代码,就有可能使用用户的权限做一些事情
一般解决办法: 对输出进行转义
CSRF: Cross-site request forgery, 就是攻击者模仿用户提交一个请求(get 或者 post)
一般解决办法:拒绝get请求,在post请求页面增加token,对post请求结束重定向,对用户权限进行检查
Http 协议根据报文中 有两个CRLF,来区分http的header和body ,一般解决办法,需要对你的http报文header进行分析
有些服务器,对header长度有限制,比如apaceh,如果超过就会出现400错误,一般解决办法,对你的cookie大小进行现在
Cookie很容易使用javascript得到, 一般解决办法 使用 httponly cookie
??? 重定向安全钓鱼网站通用做法,一般解决办法 对重定向进行检查
??? 上传文件安全一般网站都允许上传文件,这样就存在有问题的文件,对网站或者网站的用户产生风险。 一般解决办法: 对上传文件后缀名坚信检查,对文件内容进行检查
??? 静态文件安全一般web服务器,都有对静态文件读取的功能?? ? 一般解决办法: 隐藏服务器目录,屏蔽使用原生态的服务器取静态文件功能
??? 日志安全日志,跟普通日志不同
