跨站腳本攻擊(Xss)
惡意代碼被瀏覽器引擎解析,主要是js代碼
1:輸入過濾,避免直接輸出 2:設置cookie爲http-only
跨站點請求僞造(Csrf)
原理: 在用戶會話期內,誘導用戶點擊破壞性鏈接
解決方法: 1:重要操作使用驗證碼 2:表單提交使用隱藏token
點擊劫持
原理: 頁面被iframe嵌套,通過css控制其視覺效果,誘發用戶點擊
解決方法: 1:設置頁面是否允許被iframe。X-FRAME-OPTIONS 2通過js檢測
注入攻擊
原理: 惡意代碼被sql引擎解析
解決方法: 1:判斷數據類型 2:使用預編譯語句 3:過濾sql關鍵字
文件上傳漏洞
原理:上傳文件包含惡意代碼被執行
解決方法: 1:文件上傳目錄爲不可執行 2:上傳判斷文件類型 3:改變文件上傳文件名和路徑
應用層拒絕服務(Ddos攻擊)
原理: 大量的請求,資源過載,導致服務不可用
方法: 1:限制不可信任用戶資源配額 2:處理應用層ddos,使用驗證碼
php安全
原理: 1:文件包含,導致代碼包含文件當成php文件執行 2:變量被覆蓋,導致php代碼出錯 3:惡意代碼被危險函數執行
解決方法: 1:配置open_basedir,限定php運行的目錄
2:熟悉變量覆蓋的函數方法,變量先初始化 3:禁用部分危險函數
加密算法
原理:一些傳統的加密算法隨着就算能力加強存在破解的可能
解決方案 1:使用CBC模式的AES256加密 2:使用sha512用於完整性檢查 3:使用帶salt的sha-256或sha-512用於散列
