软件网站安全性的设计与检测与解决方案
2012-06-05 11:02
309 查看
软件网站安全性的设计与检测与解决方案
安全性测试主要从以下方面考虑:
1.SQL Injection(SQL注入)
见“防止SQL注入解决方案”一文
2.Cross-site scritping(XSS):(跨站点脚本攻击)
见“XSS跨站点脚本攻击解决方案”一文
3.CSRF:(跨站点伪造请求)
4.Email Header Injection(邮件标头注入)
5.Directory Traversal(目录遍历)
6.exposed error messages(错误信息)
7管理入口查找;
8认证绕过
a.用户敏感资料查看时,要确定权限,只可以看本人的。
b.敏感资料修改提交时,也要确定权限,是本人的
c.用户自激活时,需要设定一次性使用及使用期限。连接字串用3DES加密,不得出现明文字串。
D.修改密码时,要求输入原密码验证。
9.上传文件漏洞
10.程序架构安全性
a.尽可能采用CS架构
b.网站的前台没办法必须用WEB形式,但是后台管理可以做成CS的。
c.程序语言上采用.NET,J***A
11.配置文件安全性
很多时候,我们的数据库密码等放在配置文件里,而这个配置文件是明文的。很容易被人利用,解决方案是采用用密文存储,用3DES加密……密钥直接写在代码里,切不可放在明文文件中……
12.使用了HTTPS了吗
13.COOKIE的安全性
见“”提高COOKIE的安全性--相关解决方案“”,主要采用3DES加密 cookie==3des(“值,时间,IP戳”);
14.电子商务表单价格修改的问题
使用MD5签名验证即可。
14.SESSION安全性
不可以以判定SESSION为空来判断权限,必须设一个明确的值
15.进行服务端验证
不可以仅依赖客户端验证。
安全性测试主要从以下方面考虑:
1.SQL Injection(SQL注入)
见“防止SQL注入解决方案”一文
2.Cross-site scritping(XSS):(跨站点脚本攻击)
见“XSS跨站点脚本攻击解决方案”一文
3.CSRF:(跨站点伪造请求)
4.Email Header Injection(邮件标头注入)
5.Directory Traversal(目录遍历)
6.exposed error messages(错误信息)
7管理入口查找;
8认证绕过
a.用户敏感资料查看时,要确定权限,只可以看本人的。
b.敏感资料修改提交时,也要确定权限,是本人的
c.用户自激活时,需要设定一次性使用及使用期限。连接字串用3DES加密,不得出现明文字串。
D.修改密码时,要求输入原密码验证。
9.上传文件漏洞
10.程序架构安全性
a.尽可能采用CS架构
b.网站的前台没办法必须用WEB形式,但是后台管理可以做成CS的。
c.程序语言上采用.NET,J***A
11.配置文件安全性
很多时候,我们的数据库密码等放在配置文件里,而这个配置文件是明文的。很容易被人利用,解决方案是采用用密文存储,用3DES加密……密钥直接写在代码里,切不可放在明文文件中……
12.使用了HTTPS了吗
13.COOKIE的安全性
见“”提高COOKIE的安全性--相关解决方案“”,主要采用3DES加密 cookie==3des(“值,时间,IP戳”);
14.电子商务表单价格修改的问题
使用MD5签名验证即可。
14.SESSION安全性
不可以以判定SESSION为空来判断权限,必须设一个明确的值
15.进行服务端验证
不可以仅依赖客户端验证。
相关文章推荐
- 软件网站安全性的设计与检测与解决方案
- Acunetix 网站漏洞扫描软件 检测您网站的安全性。
- 【Android】应用程序安全性检测软件1.背景知识搜集
- 问题驱动的软件测试设计 - 解决方案
- 从IIS的ASP迁移到APACHE的PHP的方法 网站设计 目前在网站服务器软件市场中,开放源码
- 网站安装打包 软件环境检测与安装[二] 下
- paip.提升安全性--360,WI,AWVS三款WEB程序安全检测软件使用总结
- 微软高级软件研发主管研修计划(Architect 2000)之:解决方案的设计之解决方案的构思
- 目前一个比较权威的各类杀毒软件在线检测的网站
- 使用websecurify scanner检测网站安全性
- 近年来作品整理——软件和网站设计小结
- 网站设计大访问量应用的解决方案
- 如果你是12306网站架构师,你会如何设计网站的软件架构和硬件系统架构?
- NO5 维护项目的软件开发方式解决方案 (设计三步之一)
- [转载]如果你是12306网站架构师,你会如何设计网站的软件架构和硬件系统架构?
- DirectUI Skin++界面解决方案 界面设计 界面开发 软件UI界面开发 软件UI界面美术设计 界面编程 界面教程 Skin VC VB C# .net pb delphi c builder GUI
- 网站安装打包 软件环境检测与安装
- 微软高级软件研发主管研修计划(Architect 2000)之:解决方案的设计之物理设计概念
- 为什么我们设计软件或网站的主色调,喜欢采用蓝色或绿色?