網(wǎng)站制作的在漂亮如何安全不到位一樣白搭

計(jì)算機(jī)網(wǎng)絡(luò)已經(jīng)成為人們工作和生活中必不可少的工具，尤其近期受新冠肺炎疫情的影響，很多人居家遠(yuǎn)程辦公，在網(wǎng)上購(gòu)買生活必需品，人們已經(jīng)離不開(kāi)計(jì)算機(jī)網(wǎng)絡(luò)。然而網(wǎng)絡(luò)在帶來(lái)方便的同時(shí)，也存在一定的安全隱患，例如用戶個(gè)人信息可能會(huì)被黑客竊取，甚至可能發(fā)生計(jì)算機(jī)網(wǎng)絡(luò)攻擊事件。1事件經(jīng)過(guò)筆者近年從事對(duì)一些單位門戶網(wǎng)站網(wǎng)絡(luò)安全漏洞的掃描工作。2019年12月，筆者發(fā)現(xiàn)某網(wǎng)站存在網(wǎng)絡(luò)安全漏洞，及時(shí)向網(wǎng)站所屬單位進(jìn)行了通報(bào)，漏洞詳細(xì)情況如下：漏洞名稱為跨站腳本（XSS），漏洞數(shù)量1個(gè)，漏洞等級(jí)為高危。漏洞描述一種攻擊者利用網(wǎng)站程序?qū)τ脩糨斎脒^(guò)濾不足的缺陷，輸入可以顯示在頁(yè)面上并對(duì)其他用戶造成影響的HTML代碼，從而盜取用戶資料、利用用戶身份進(jìn)行某種動(dòng)作或者對(duì)訪問(wèn)者進(jìn)行病毒侵害的攻擊方式。對(duì)該漏洞的驗(yàn)證過(guò)程如下（1）構(gòu)造跨站腳本攻擊URL代碼在網(wǎng)頁(yè)地址欄輸入圖2所示的代碼后，在網(wǎng)站相應(yīng)頁(yè)面出現(xiàn)彈框報(bào)警，顯示出“23”字樣。（2）在頁(yè)面上輸入文字將漏洞情況通報(bào)網(wǎng)站所屬單位，該單位進(jìn)行了一些修復(fù)，過(guò)濾掉“alert彈窗”。2漏洞危害跨站腳本漏洞在每年的OWASP Top10（最新十大Web安全風(fēng)險(xiǎn)）中一直名列前茅，可被用于竊取隱私、釣魚(yú)欺騙、偷取密碼、傳播惡意代碼等攻擊行為。惡意攻擊者可以利用跨站腳本漏洞在網(wǎng)站中插入任意代碼，只要是腳本代碼能夠?qū)崿F(xiàn)的功能，跨站腳本攻擊都能夠做到。3防范措施跨站腳本攻擊按形式可分為三種，即反射性XSS攻擊、存貯性XSS攻擊以及基于DOM的XSS攻擊。其過(guò)程簡(jiǎn)單來(lái)說(shuō)，就是惡意攻擊者在Web頁(yè)面里插入惡意腳本代碼，用戶瀏覽該網(wǎng)頁(yè)時(shí)，嵌入Web頁(yè)面的腳本代碼就會(huì)被執(zhí)行，進(jìn)而達(dá)到攻擊目的?？缯灸_本攻擊相對(duì)于其他網(wǎng)絡(luò)攻擊而言更隱蔽。做好防范，須做到以下幾點(diǎn)：（1）對(duì)傳入?yún)?shù)進(jìn)行有效性檢測(cè)（2）保護(hù)用戶Cookie信息（3）限制輸入字符的長(zhǎng)度（4）檢查用戶提交信息中的鏈接（5）對(duì)用戶上傳文件進(jìn)行檢索限制（6）加強(qiáng)網(wǎng)站內(nèi)部人員安全管理網(wǎng)絡(luò)安全問(wèn)題并不遙遠(yuǎn)，就在我們身邊，因此提升網(wǎng)站相關(guān)人員安全意識(shí)、工作責(zé)任心、安全防護(hù)技術(shù)能力尤為重要。此次網(wǎng)站跨站腳本漏洞，從發(fā)現(xiàn)到修復(fù)用了兩周時(shí)間，并不困難。然而跨站腳本攻擊相對(duì)其他攻擊手段更加隱蔽和多變，與網(wǎng)站業(yè)務(wù)流程、功能代碼實(shí)現(xiàn)都有關(guān)系，不存在一勞永逸的解決方案。防范跨站腳本攻擊以及其他網(wǎng)站安全漏洞，往往要犧牲網(wǎng)站的便利性，如何在安全和便利之間尋求平衡也是網(wǎng)站建設(shè)的一大焦點(diǎn)議題。

網(wǎng)頁(yè)名稱：網(wǎng)站制作的在漂亮如何安全不到位一樣白搭
分享URL：http://www.bm7419.com/news38/66688.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站策劃、網(wǎng)站制作、關(guān)鍵詞優(yōu)化、企業(yè)建站、網(wǎng)站維護(hù)、全網(wǎng)營(yíng)銷推廣

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)