上传漏洞、登陆页暴力破解的危害性比较大,因为一旦成功,便等于获得了写文件或更改网站配置的权限,从而方便进一步提权,
下面是针对这两种威胁的防范手段:
上传漏洞 ============================================================================================================== * “文件上传漏洞”,包括但不限于 - http请求头MIME欺骗、 - 文件名或目录名%00截断上传、 - 双文件上传、 - 浏览器路径解析漏洞、 - 图片一句话木马+文件包含、 - 未授权直接自构表单上传 * 文件上传防御方案: - 1.客户端检测,使用JS对上传图片检测,包括文件大小、文件类型等 - 2.服务端检测,对文件大小、文件路径、文件扩展名、文件类型、文件内容检测,对文件重命名 - 3.其他限制,服务器端上传目录设置不可执行权限 防止登录页暴力破解 =============================================================================================================== * 验证码或令牌验证(在检查用户名、密码之前优先检查验证码,服务端限制验证码不为空、每验证一次就清空session的验证码信息)。 * 登录失败次数限制。一定时间内登录失败多少次就封号,就算接下来猜对了密码也提示用户名或密码失败。 * ip或代理黑名单。 * 提示信息,无论用户名正确与否,总是提示用户名或密码错误。