软件网站安全性的设计与检测与解决方案
安全性测试主要从以下方面考虑:
1.SQL Injection(SQL注入)
见“防止SQL注入解决方案”一文
2.Cross-site scritping(XSS):(跨站点脚本攻击)
见“XSS跨站点脚本攻击解决方案”一文
3.CSRF:(跨站点伪造请求)
4.Email Header Injection(邮件标头注入)
5.Directory Traversal(目录遍历)
6.exposed error messages(错误信息)
7管理入口查找;
8认证绕过
a.用户敏感资料查看时,要确定权限,只可以看本人的。
b.敏感资料修改提交时,也要确定权限,是本人的
c.用户自激活时,需要设定一次性使用及使用期限。连接字串用3DES加密,不得出现明文字串。
D.修改密码时,要求输入原密码验证。
9.上传文件漏洞
10.程序架构安全性
a.尽可能采用CS架构
b.网站的前台没办法必须用WEB形式,但是后台管理可以做成CS的。
c.程序语言上采用.NET,JAVA
11.配置文件安全性
很多时候,我们的数据库密码等放在配置文件里,而这个配置文件是明文的。很容易被人利用,解决方案是采用用密文存储,用3DES加密……密钥直接写在代码里,切不可放在明文文件中……
12.使用了HTTPS了吗
13.COOKIE的安全性
见“”提高COOKIE的安全性--相关解决方案“”,主要采用3DES加密 cookie==3des(“值,时间,IP戳”);
14.电子商务表单价格修改的问题
使用MD5签名验证即可。
14.SESSION安全性
不可以以判定SESSION为空来判断权限,必须设一个明确的值
15.进行服务端验证
不可以仅依赖客户端验证。