软件网站安全性的设计与检测与解决方案

软件网站安全性的设计与检测与解决方案
安全性测试主要从以下方面考虑：
1.SQL Injection(SQL注入)
见“防止SQL注入解决方案”一文
2.Cross-site scritping(XSS):(跨站点脚本攻击)
见“XSS跨站点脚本攻击解决方案”一文
3.CSRF:(跨站点伪造请求)
4.Email Header Injection(邮件标头注入)
5.Directory Traversal(目录遍历)
6.exposed error messages(错误信息)
7管理入口查找；
8认证绕过
a.用户敏感资料查看时，要确定权限，只可以看本人的。
b.敏感资料修改提交时，也要确定权限，是本人的
c.用户自激活时，需要设定一次性使用及使用期限。连接字串用3DES加密，不得出现明文字串。
D.修改密码时，要求输入原密码验证。
9.上传文件漏洞
10.程序架构安全性
a.尽可能采用CS架构
b.网站的前台没办法必须用WEB形式，但是后台管理可以做成CS的。
c.程序语言上采用.NET,JAVA
11.配置文件安全性

很多时候，我们的数据库密码等放在配置文件里，而这个配置文件是明文的。很容易被人利用，解决方案是采用用密文存储，用3DES加密……密钥直接写在代码里，切不可放在明文文件中……
12.使用了HTTPS了吗
13.COOKIE的安全性
见“”提高COOKIE的安全性－－相关解决方案“”，主要采用3DES加密 cookie==3des(“值，时间,IP戳”);14.电子商务表单价格修改的问题使用MD5签名验证即可。14.SESSION安全性不可以以判定SESSION为空来判断权限，必须设一个明确的值 15.进行服务端验证不可以仅依赖客户端验证。