网站建设中哪些安全漏洞比较常见?

网络安全是现在大家都比较关注的一个问题，如果一个企业的网站出现漏洞，将会严重影响企业的形象。那么“网站建设中哪些安全漏洞比较常见?”接下来跟着小编一起来了解一下有关的问题吧。

sql注入

描述：攻击者利用sql注入漏洞，可以获取数据库中的多种信息，如：管理后台的密码，从而脱取数据库中的内容。

解决方法：对输入参数进行过滤、校验，采用黑白名单方式，过滤、校验要覆盖系统内所有的参数。

跨站脚本攻击

描述：对输入信息没有进行校验，攻击者可以通过巧妙的方法注入恶意指令代码到网页。这种代码通常是JavaScript，但实际上，也可以包括Java、VBScript、ActiveX、Flash 或者普通的HTML。攻击成功之后，攻击者可以拿到更高的权限。

解决方法：对用户输入进行过滤、校验，输出进行HTML实体编码。

明文传输

描述：对系统用户口令保护不足，攻击者可以利用攻击工具，从网络上窃取合法的用户口令数据。

解决方法：传输的密码必须加密，要复杂加密，不要用base64或md5。

文件上传漏洞

描述：没有对文件上传限制，可能会被上传可执行文件，或脚本文件。进一步导致服务器沦陷。

解决方法：严格验证上传文件，防止上传asp、aspx、asa、php、jsp等危险脚本。同时，建议加入文件头验证，防止用户上传非法文件。

命令执行漏洞

描述：脚本程序调用如php 的 system、exec、shell_exec等。

解决方法：打补丁，对系统内需要执行的命令要严格限制。

CSRF(跨站请求伪造)

描述：使用已经登陆用户，在不知情的情况下执行某种动作的攻击。

解决方法：添加token验证。时间戳或这图片验证码。

任意文件包含、任意文件下载

描述：任意文件包含，系统对传入的文件名没有合理的校验，从而操作了预想之外的文件。任意文件下载，系统提供了下载功能，却未对下载文件名进行限制。

解决方法：对用户提交的文件名限制。防止恶意的文件读取、下载。

敏感信息泄露

描述：系统暴露内部信息，如：网站的绝对路径、网页源代码、SQL语句、中间件版本、程序异常等信息。

解决方法：对用户输入的异常字符过滤，屏蔽一些错误回显，如自定义404、403、500等。

XML实体注入

描述：当允许引用外部实体是，通过构造恶意内容，可导致读取任意文件、执行系统命令、探测内网端口等等。

解决方法：使用开发语言提供的禁用外部实体方法，过滤用户提交的XML数据。

SSRF漏洞

描述：服务端请求伪造。

解决方法：打补丁，或者卸载无用的包。

不安全的cookies

描述：cookies中包含用户名或密码等敏感信息。

解决方法：去掉cookies中的用户名，密码。

以上就是关于“网站建设中哪些安全漏洞比较常见?”的有关内容，希望小编的回答对大家来说有所收获，如果您还想了解更多的内容，可以随时联系我们。