欧美人妻日韩精品,久久青青草原国产精品最新片,亚洲特级毛片av无码专区,一本一道色欲综合网中文字幕

鄭州信息科技中專(zhuān)職業(yè)學(xué)院中專(zhuān)部

不僅僅統(tǒng)招學(xué)歷喲

  • 熱門(mén)專(zhuān)業(yè)!
  • 大學(xué)校園!
  • 就業(yè)保障!
  • 拿學(xué)歷又能高薪就業(yè),誰(shuí)能不愛(ài)!
了解詳情>
鄭州北大青鳥(niǎo)翔天信鴿參加“安心學(xué)習(xí)·放心就業(yè)”公約簽約儀式

讓每一個(gè)家庭“安心”、“放心”

  • 教學(xué)為本
  • 師愛(ài)為魂
  • 安心學(xué)習(xí)
  • 放心就業(yè)
了解詳情>
北大青鳥(niǎo)20周年慶典與總部年會(huì)鄭州翔天信鴿榮獲7項(xiàng)榮譽(yù)

深耕細(xì)作IT職業(yè)教育15載

  • 青鳥(niǎo)之星教學(xué)質(zhì)量大獎(jiǎng)
  • 卓越風(fēng)云人物
  • 北大青鳥(niǎo)中心理事會(huì)成員
  • 七項(xiàng)榮耀載譽(yù)而行!
了解詳情>
鄭州北大青鳥(niǎo)學(xué)員喜獲全國(guó)IT精英挑戰(zhàn)賽冠軍

我們教學(xué)怎么樣

  • 實(shí)力見(jiàn)證
  • 網(wǎng)絡(luò)組一等獎(jiǎng)
  • 網(wǎng)絡(luò)組二等獎(jiǎng)
  • 軟件組四等獎(jiǎng)
  • 200家校區(qū)脫穎而出!
了解更多>
北大青鳥(niǎo)榮獲315重承諾守信用放心品牌

北大青鳥(niǎo)職業(yè)IT20周年

  • 重承諾
  • 守信用
  • 放心品牌
  • 放心學(xué)習(xí)
  • 靠靠譜譜好就業(yè)!
了解更多>
學(xué)IT好工作高薪就業(yè)

我命由我不由天

  • 學(xué)個(gè)性的技術(shù)
  • 做愛(ài)做的事
  • 掙滿意的錢(qián)
  • 衣食無(wú)憂
  • 選擇寬且高大尚!
了解更多>
鄭州北大青鳥(niǎo)IT培訓(xùn)辦學(xué)14年

我們靠不靠譜

  • 14年辦學(xué)
  • 14年磨練
  • 14年成長(zhǎng)
  • 14年探索
  • 只為讓每個(gè)學(xué)員成材!
了解更多>
鄭州北大青鳥(niǎo)IT培訓(xùn)

不打工也牛掰

  • 好工作
  • 好環(huán)境
  • 高薪資
  • 好課程
  • 支持你成為有“錢(qián)”人!
了解更多>

學(xué)IT就讀北大青鳥(niǎo)

  • 好工作
  • 好未來(lái)
  • 好老師
  • 好課程
  • 支持你成為受人尊敬的人!
了解更多>
    當(dāng)前位置: 首頁(yè) > 河南鄭州北大青鳥(niǎo)學(xué)校 > 技術(shù)交流 > 網(wǎng)絡(luò)安全
web代碼安全問(wèn)題大集合
作者:北大青鳥(niǎo) 添加時(shí)間:03-20 瀏覽次數(shù):0

  一,   數(shù)據(jù)庫(kù)安全性

1,   MSSQL數(shù)據(jù)庫(kù)安全性
l  web中不允許使用sa級(jí)的用戶連接數(shù)據(jù)庫(kù)
解決方法:
刪除sa用戶,新建一個(gè)權(quán)限為sa的用戶,用戶名和密碼一樣要復(fù)雜。以防暴力破解。
新建一個(gè)web連接用戶,去掉所有服務(wù)器角色,在用戶映射中加入此用戶要操作的數(shù)據(jù)庫(kù)和db_public身份。
如果需要其它操作要另加權(quán)限(如只加insert/delete/select/update)。
每個(gè)人都沒(méi)法保證自己寫(xiě)的代碼沒(méi)有漏洞。只要在數(shù)據(jù)庫(kù)層做下處理以防入侵。如果有SQL注入db_public身份一樣能對(duì)數(shù)據(jù)庫(kù)添加/修改/刪除權(quán)限,所以一定不能存在SQL注入漏洞。
如果能防SQL注入和權(quán)限限制就很難發(fā)生暴庫(kù)/跨庫(kù)現(xiàn)像。
2,   Access數(shù)據(jù)庫(kù)安全性
解決方法:
防暴庫(kù):在數(shù)據(jù)庫(kù)連接時(shí)加入錯(cuò)誤處理代碼,如果數(shù)據(jù)庫(kù)連接失敗就提示錯(cuò)誤信息或轉(zhuǎn)向。不能由系統(tǒng)本身提示錯(cuò)誤信息,
防下載。
u  第一步:新建一個(gè)表。
u  第二步:在表中建一個(gè)字段,名稱隨意,類(lèi)型是OLE對(duì)象,然后用ASP代碼向字段中添加一條記錄寫(xiě)入單字節(jié)的"<%" 代碼為:Insert into tablename(fieldname)value (chrB(asc("<")) & chrB(asc("%")))。
u  第三步:將數(shù)據(jù)庫(kù)改名為*.ASP
最安全的方法是用使用ODBC數(shù)據(jù)源連接
二,   web代碼安全性
1,   備份文件時(shí)的小漏洞。
有些ASP編輯器會(huì)自動(dòng)備份asp文件,并且改名為*.bak,這樣就存在了會(huì)被下載的漏洞,在給asp文件改名時(shí),不要修改為*.txt/.bak/等等,一定要保存擴(kuò)展名不變(*.asp),在上傳到站點(diǎn)時(shí)請(qǐng)不要上傳備份文件。
2,   防SQL注入。
SQL注入主要是單引號(hào)沒(méi)有過(guò)濾,讓人利用,重新生成一個(gè)具有威脅性的SQL語(yǔ)句。
如:http://www+hnbenet+com/view+asp?id=100如果存在SQL注入我們就可以這么寫(xiě):http://www+hnbenet+com/view+asp?id=100;delete * from tablename;后臺(tái)運(yùn)行時(shí)為select * from aaa where;delete * from tablename
在這里要提醒大家,不要認(rèn)為.net的安全性高就沒(méi)有SQL注入了。錯(cuò),只要和數(shù)據(jù)庫(kù)操作有關(guān)的都存在SQL注入漏洞。無(wú)論是軟件還是網(wǎng)站,都存在。
解決方法:
在頁(yè)面的開(kāi)始位置過(guò)濾接收到的非法字符,如exec /delete/insert into/update/’ 等等,這里過(guò)濾不是指將非法字符過(guò)濾為空串,而是過(guò)濾為相近的字符;蛘呷绻嬖诜欠ㄗ址麆t轉(zhuǎn)向到錯(cuò)誤處理頁(yè)面。這里說(shuō)個(gè)例子如果將exec過(guò)濾為空串時(shí)會(huì)出來(lái)什么后果,如果字串中存在exexecec 請(qǐng)問(wèn)過(guò)濾后是什么,還是exec。這里不多說(shuō)了,大家都明白了哈。
如果接收參數(shù)為數(shù)值型時(shí),必需要先判斷數(shù)據(jù)類(lèi)型,以防出現(xiàn)其它錯(cuò)誤。往往黑客信息的來(lái)源就是頁(yè)面出錯(cuò)的信息。
如果參數(shù)為字符型時(shí),必需要過(guò)濾字符串中的單引號(hào)為雙引號(hào)或其它字符。
這里寫(xiě)個(gè)例子:往往我們的代碼都是這么寫(xiě)的select * fromaaa where bbb=’” + sVal +”’” 表面上看是沒(méi)有問(wèn)題的,是正確的,不過(guò)此句存在SQL注入。為什么呢,請(qǐng)看:sVal的值是外部提交的數(shù)據(jù),如果sVal的值為aaa’;delect * from bbb;-- 寫(xiě)在一起就是:select * from aaa where bbb=’aaa’;delect * from bbb;--‘其中-- ‘為注釋。
使用DbParameter比拼接SQL來(lái)的完全的多。
3,   登錄漏洞。
解決方法:
過(guò)濾非法字符串
SQL寫(xiě)法 select passwordfrom user where username=’” + sqlstr(sUser) + “’” 其中sqlstr()為過(guò)濾非法字符串函數(shù),sUser為用戶名文本框中輸入的字符。然后在判斷數(shù)據(jù)庫(kù)中的密碼和輸入的密碼是否一致。
原理:由用戶名在數(shù)據(jù)庫(kù)中找到此用戶的記錄,然后在用密碼比較。千萬(wàn)不要用“select* from user where username=’” + sqlstr(sUser) + “’ and password=’” +sqlstr(sPass) + “’” 然后在判斷是否為空。”這種方法。
4,   防另存為
解決方法:
<NOSCRIPT><IFRAMESRC="*.html"></IFRAME></NOSCRIPT>
防止別人下載網(wǎng)站的HTML代碼,當(dāng)然不是很完美,不過(guò)也夠嗆。
5,   防被內(nèi)嵌
解決方法:
<script>if (self != top) { top.location = self.location;}</script>
防止別人內(nèi)嵌我們的網(wǎng)站,然后做些手角。如鍵盤(pán)記錄呀,監(jiān)視我們輸入的數(shù)據(jù)呀等等。
6,   防本地提交數(shù)據(jù)
解決方法:
在保存數(shù)據(jù)時(shí)第一步判斷來(lái)源,如果不是從指定的來(lái)源提交數(shù)據(jù),出示錯(cuò)誤信息。
第二步對(duì)提交數(shù)據(jù)進(jìn)行非法字符過(guò)濾。
第三步保存到數(shù)據(jù)庫(kù),保存時(shí)一定要進(jìn)行錯(cuò)誤處理。
7,   防無(wú)限刷新
解決方法:
這個(gè)比較難做,當(dāng)然也有很多種方法。
1,在服務(wù)器上做手角
2,在代碼中加入訪問(wèn)日志信息,通過(guò)分析日志信息來(lái)判斷同一人訪問(wèn)頻率。
3,用js操作cookies來(lái)記錄訪問(wèn)日志信息,判斷訪問(wèn)頻率。這種方法不會(huì)占用服務(wù)器的資源。
8,   防無(wú)限提交數(shù)據(jù)/防ajax自動(dòng)提交數(shù)據(jù)
解決方法:
加入驗(yàn)證碼和提交時(shí)間(如一分種發(fā)信息)限制功能。
9,   防js代碼
解決方法:
要想過(guò)濾所有js代碼這點(diǎn)很難辦法,js攻擊漏洞占大多數(shù)。Js的寫(xiě)法也千奇白怪。這里發(fā)上一些具有攻擊性的html代碼。這些都是常見(jiàn)到的,并且每一種都不同的寫(xiě)法。單引號(hào)和雙引號(hào)不同/大小寫(xiě)不同/先后循序不同/tab和空格不同/Html標(biāo)簽不同/事件不同/樣式不同等等。
<P style="BACKGROUND:url(JAVA   SCRIPT:alert('11111'))">test</P>
<body>
<img src="http://www+hnbenet+com/images/note_yellow.gif"onload="alert('66666');"/>
<img src="JAVASCRIPT:alert('888888')" />
<STYLE>div{behavior: url("htc.js");};<style>
<STYLE>body{oMouseOut: eXpreSsIon(onclick = function(){alert('33333');})}<style>
<STYLE>body{background:url(JAVASCRIPT:alert('22222'));}<style>
<STYLE>@import "JAVASCRIPT:alert('444444')";<style>
<link href="JAVASCRIPT:alert('777777')"rel="stylesheet" />
<script src= hk.js></script>
<Pstyle="BACKGROUND:url(JAVASCRIPT:document.write('<scriptsrc=hk.js></script>'))">test</P>
<iframe src='hk1.html'></iframe>
10,防Cookie假冒
解決方法:
密碼信息不要存放在Cookie中
在用到Cookie中的數(shù)據(jù)時(shí),一定要從數(shù)據(jù)庫(kù)中重新讀取。然后比較。以防Cookie篡改。
Cookie數(shù)據(jù)需要加密
11,緩沖區(qū)溢出
解決方法:
服務(wù)器中不要打開(kāi)無(wú)用軟件。
在服務(wù)端運(yùn)行的代碼中,用到一個(gè)對(duì)像一定要釋放。
在客戶端運(yùn)行的js/vbs/activex/flash代碼中,用到的dom對(duì)像在結(jié)束時(shí)一定要釋放。
12,其它
防瀏覽器插件
修改IE的安全選項(xiàng)把“活動(dòng)腳本”和ActiveX的運(yùn)行設(shè)置為禁用或提示。
或在IE安全設(shè)置里將安全級(jí)別設(shè)為高。隱私選項(xiàng)也設(shè)為高。
三,   服務(wù)器安全性
關(guān)閉無(wú)用端口
下載補(bǔ)丁/更新操作系統(tǒng)
安裝殺毒軟件
安裝防火墻
如果服務(wù)器上有多個(gè)站點(diǎn),為每一個(gè)站點(diǎn)分配權(quán)限,每個(gè)站點(diǎn)都不能操作其它文件和目錄,也不能影響到其它站點(diǎn)。
注意:其實(shí)以上內(nèi)容大家都知道,哪么為什么還會(huì)出現(xiàn)這么多漏洞呢。有時(shí)候我和其它的同伴常說(shuō)一些費(fèi)話,我常常會(huì)說(shuō)單引號(hào)過(guò)濾了嗎,回答是都過(guò)濾了,我又說(shuō)請(qǐng)?jiān)倏匆槐榛卮鹞,回答的還是都過(guò)濾了,當(dāng)我看時(shí)依然是沒(méi)有完全過(guò)濾。這能反應(yīng)一個(gè)什么問(wèn)題大家都明白了吧。因?yàn)榇蠹以趯?xiě)代碼時(shí)寫(xiě)法都是select * from aaa where bbb=’” + sVal +”’”已成習(xí)慣。其實(shí)我也常犯這個(gè)錯(cuò)誤,所以特別在這里提出。這就是重重之重。
文章由鄭州北大青鳥(niǎo)整理!

本文由站河南北大青鳥(niǎo)校區(qū)整編而成,如需了解更多IT資訊類(lèi)的文章、新聞、課程和學(xué)習(xí)技巧、就業(yè)案例、招生詳情等問(wèn)題,可以對(duì)在線咨詢老師進(jìn)行一對(duì)一問(wèn)答!

分享到: