软件网站安全性的设计与检测与解决方案
2012-07-12 23:09
302 查看
软件网站安全性的设计与检测与解决方案
安全性测试主要从以下方面考虑:
1.SQL Injection(SQL注入)
见“防止SQL注入解决方案”一文
2.Cross-site scritping(XSS):(跨站点脚本攻击)
见“XSS跨站点脚本攻击解决方案”一文
3.CSRF:(跨站点伪造请求)
4.Email Header Injection(邮件标头注入)
5.Directory Traversal(目录遍历)
6.exposed error messages(错误信息)
7管理入口查找;
8认证绕过
a.用户敏感资料查看时,要确定权限,只可以看本人的。
b.敏感资料修改提交时,也要确定权限,是本人的
c.用户自激活时,需要设定一次性使用及使用期限。连接字串用3DES加密,不得出现明文字串。
D.修改密码时,要求输入原密码验证。
9.上传文件漏洞
10.程序架构安全性
a.尽可能采用CS架构
b.网站的前台没办法必须用WEB形式,但是后台管理可以做成CS的。
c.程序语言上采用.NET,JAVA
11.配置文件安全性
很多时候,我们的数据库密码等放在配置文件里,而这个配置文件是明文的。很容易被人利用,解决方案是采用用密文存储,用3DES加密……密钥直接写在代码里,切不可放在明文文件中……
12.使用了HTTPS了吗
13.COOKIE的安全性
见“”提高COOKIE的安全性--相关解决方案“”,主要采用3DES加密 cookie==3des(“值,时间,IP戳”);14.电子商务表单价格修改的问题使用MD5签名验证即可。14.SESSION安全性不可以以判定SESSION为空来判断权限,必须设一个明确的值 15.进行服务端验证不可以仅依赖客户端验证。
安全性测试主要从以下方面考虑:
1.SQL Injection(SQL注入)
见“防止SQL注入解决方案”一文
2.Cross-site scritping(XSS):(跨站点脚本攻击)
见“XSS跨站点脚本攻击解决方案”一文
3.CSRF:(跨站点伪造请求)
4.Email Header Injection(邮件标头注入)
5.Directory Traversal(目录遍历)
6.exposed error messages(错误信息)
7管理入口查找;
8认证绕过
a.用户敏感资料查看时,要确定权限,只可以看本人的。
b.敏感资料修改提交时,也要确定权限,是本人的
c.用户自激活时,需要设定一次性使用及使用期限。连接字串用3DES加密,不得出现明文字串。
D.修改密码时,要求输入原密码验证。
9.上传文件漏洞
10.程序架构安全性
a.尽可能采用CS架构
b.网站的前台没办法必须用WEB形式,但是后台管理可以做成CS的。
c.程序语言上采用.NET,JAVA
11.配置文件安全性
很多时候,我们的数据库密码等放在配置文件里,而这个配置文件是明文的。很容易被人利用,解决方案是采用用密文存储,用3DES加密……密钥直接写在代码里,切不可放在明文文件中……
12.使用了HTTPS了吗
13.COOKIE的安全性
见“”提高COOKIE的安全性--相关解决方案“”,主要采用3DES加密 cookie==3des(“值,时间,IP戳”);14.电子商务表单价格修改的问题使用MD5签名验证即可。14.SESSION安全性不可以以判定SESSION为空来判断权限,必须设一个明确的值 15.进行服务端验证不可以仅依赖客户端验证。
相关文章推荐
- 软件网站安全性的设计与检测与解决方案
- Acunetix 网站漏洞扫描软件 检测您网站的安全性。
- 关于.net网站的安全性问题以及解决方案的分析
- Bash软件安全漏洞检测及解决方案
- Bash软件安全漏洞检测及解决方案
- 现在网站网页设计用什么软件,什么技术?
- html5网站后台程序安全性与网站设计规范
- 不装软件也可以做设计,在线设计图片网站总结
- 网站安全性中的几个设计
- Web设计网站软件推荐
- 网站安全性中的几个设计
- 推荐几个检测网站信息的平台(安全性、访问速度、漏洞)
- SSL安全性检测的在线测试网站--有需要的推荐
- 网站安装打包 软件环境检测与安装[二] 下
- 网站漏洞修复与网站安全检测的代码安全审计的整体解决方案
- Bash软件安全漏洞检测及解决方案
- 如何使用ThreadingTest提高软件安全性检测效率
- 如何使用ThreadingTest提高软件安全性检测效率(上)
- 软件可靠性与安全性设计与实现知识梳理(软件可靠性与安全性高级技术研讨会心得)
- 网站安装打包 软件环境检测与安装[二] 下