1, 默认密码, 密码强度低
问题描述:因为默认密码, 弱小的嘴巴很容易猜到,它也很容易制作专业密码开裂软件。
修改建议:加强密码的强度,不适用
注意:没有公共词。如:root123456, Admin1234, Qwer1234, 密码, 等等。
2, 清晰的文本传输
问题描述:对系统用户密码的保护不足,攻击者可以使用专业的攻击工具,窃取来自网络的合法用户密码数据。
修改建议:加密后必须重复使用传输密码。
注意:所有密码必须复杂加密,不要使用MD5或Base64加密。
3, 命令执行漏洞
问题描述:脚本程序调用如系统, exec, shell_exec, 等等。
修改建议:播放补丁,需要在系统内执行的命令严格限制。
4, SQL注入
问题描述:攻击者使用SQL来注入漏洞。您可以在数据库中获取各种信息,如:管理背景的密码,从而窃网站建设管理与维护取数据库的内容(关闭)。
修改建议:过滤器, 检查输入参数。使用黑白清单。
注意:过滤器, 检查系统中的所有参数。
5, 敏感信息泄露
问题描述:系统公开内部信息,如:网站的绝对路径, Web源代码, SQL语句, 中间件版本, 程序异常, 等等。
修改建议书:过滤用户输入的异常字符。屏蔽一些错误,如自定义404, 403, 500, 等等。
6, CSRF(伪造的跨站请求)
问题描述:使用用户,在不知情的情况下执行动作攻击。
修改建议:添加令牌身份验证。时间戳或此图片验证码。
7, 文件上传漏洞
问题描述:文件上传没有限制,可能上传, 可执行,或脚本文件。进一步导致服务器下降。
修改建议:严格验证上传文件,防止上传的ASP, aspx, 作为一个, PHP, JSP和其他危险脚本。同事最好加入文件头验证,阻止用户上传非法文件。
8, SSRF漏洞
问题描述:服务器请求伪造。
修改建议:播放补丁,或卸载无用的包裹
9, 跨站脚企业建网站本攻击
问题描述:网站施工费不检查输入信息,攻击者可以通过巧妙的方式将恶意指令代码注入网页。此代码通常是JavaScript,但实际上,也可以包括Java, VBScript, ActiveX, 闪光, 或普通的HTML。攻击成功后,攻击者可以获得更高的权限。
修改建议:过滤器, 检查它是否以获取用户输入。输出HTML实体编码。
注意:过滤器, 查看, HTML实体编码。覆盖所有参数。
网站上存在漏洞,并不糟糕。可怕的不是做到这一点,听任何东西,在网站没有攻击之前我没有任何影响。一旦对手或同伴袭击,窃取网站数据库的信息,估计损失将不会估计。任何公司制作公司官网多少钱网站的建设都应注意,每个网站建设公司正在为客户开发一个网站,还应该从源中避免它来避免网站的漏洞。
本文地址:
专业网站建设制作价格 做网站建设公司
请立即点击咨询我们或拨打咨询热线: 13968746378,我们会详细为你一一解答你心中的疑难。项目经理在线
客服1 
客服2 