Web安全开发注意事项

1.sql注入:这个很常规了,不要拼字符串以及过滤关键字都可以防住,需要注意的是,Cookie提交的参

数也是可以导致注入漏洞的。
2.旁注:就是说在保证自己的程序没问题的同时,也要保证同台服务器的其他站点没问题。至少要设置

好系统权限,即使别人的站点出问题也不能影响自己的站点。
3.上传:尽量不要有上传功能,如果必须有上传功能。也要做到以下方面:不能让用户定义路径、文件

名,限制好可上传的文件类型。同时要限制好权限,基本规则:执行和可写是互斥权限,不应同时存在


4.口令强度:在设置密码之类的功能上应加入密码强度要求。服务器上线部署的时候,应该立即把默认

密码修改掉。
5.防穷举机制:适当的加入验证码,防止别人用程序穷举账户密码。
6.第三方控件:使用第三方控件,应经过严格的审核(很多第三方控件上作者故意留有缺陷),并且剔

除不必要的功能再使用。
7.权限最小化:能给只读就给只读,尽量具体到每一个子目录。
8.目录非常规化:得到管理员账户密码,但是找不到后台登录地址也是很难入侵的。后台路径不要动不

动就是http://www.2cto.com /admin、manager、gl之类的,很容易猜解。
10.XSS:俗称跨站脚本攻击。用户把HTML、JS之类的标签输入到编辑框,入库之后,再显示的时候可以

导致版面错误、JS能解析执行之类的都属于XSS的范畴。如果攻击者插个Iframe连的是个木马网页,那查

看这个内容的人就悲剧了。解决方法:过滤大于小于号即可
11.CSRF URL跳转未验证漏洞:类似于XSS,只是把代码写在URL里,如
http:///www.2cto.com /logout.aspx?preURL=aaaa.html
即经常出现在登录退出的页面,通过参数的preURL决定完成动作的时候跳向哪个页面,如果照样
http://www.2cto.com /logout.aspx?preURL=javascript:alert(‘test‘)
就可以弹框,说明我们的js代码已经被执行起来了。

总之一句话,开发过程中,不要相信用户提交的任何数据,规划好目录,做到权限最小化,关闭、删除

不必要的东西,就相对会安全很多了。

cert 安全编码建议:
1、验证输入:从不可信任的数据源中进行的输入需要验证。合适的输入验证能减少大量软件的弱点。必

须对大部分的数据源持怀疑的态度,包括命令行参数,网络接口,环境变量及用户文件。
2、留言编译器警告:编译代码时使用编译器的最高警告级别,通过修改代码来减少警告。
3、针对安全策略的架构和设计:构建软件架构和设计软件时采用安全策略。例如:如果系统在不同的时

间需要不同的权限,则考虑将系统分成不同的互相通信的子系统,每个系统拥有合适的权限。
4、保持简单性:设计越简单越好,复杂的设计提高了实现时错误的可能性。
5、默认拒绝:默认的访问策略建立在允许的基础上。也就是说,默认的访问是拒绝的,除非标明是允许

的。
6、最小权限原则:每个进程拥有完成工作所需的最小权限。任何权限的拥有时间要尽可能的短。这一方

法能阻止攻击者利用权限提升执行任意代码的机会。
7、清洁发送给其他系统的数据:清洁所有发送给复杂子系统的数据,例如:命令外壳(shells),关系

数据库,商用组件。攻击者可能通过SQL命令或者注入进行攻击。这不是靠子系统通过输入验证来避免的

问题,因为子系统不清楚调用的上下文,而调用过程指导上下文,所以有责任在调用子系统时清洁数据


8、纵深防御:这是一个通用的安全原则,从多个防御策略中规避风险,如果一层防御失效,则另一层防

御还在发挥作用。
9、使用有效的安全质量保证技术:好的质量保证技术能有效的发现和消除弱点。渗透测试、Fuzz测试,

以及源代码审计都能作为一种有效的质量保证措施。独立的安全审查能够建立更安全的系统。
10、采用安全编码标准:为开发语言和平台指定安全编码标准,并采用这些标准。

时间: 2024-11-04 16:45:25

Web安全开发注意事项的相关文章

Web 安全开发注意事项

一.背景 最近开发公司的WEB项目,商密技术研究部领导推出了一套测试规范,规范中包括web端安全测试扫描,扫描结果不尽如人意,因此搜集及整理如下web安全开发事项. 二.编码安全策略 简述:不要相信任何来自客户端提交的数据,比如URL和参数,HTTP头部.javascript或者其他嵌入代码提交的数据.对客户端提交的数据需要经过过滤或者转义,然后再进行处理. 1.客户端提交数据验证 a.合法性校验 不可信数据的合法性校验包括:数据类型校验如字符.数字.日期等特征;数据范围;数据长度等. b.防范

WEB APP 开发标签

第一个meta标签表示:强制让文档的宽度与设备的宽度保持1:1,并且文档最大的宽度比例是1.0,且不允许用户点击屏幕放大浏览: 第二个meta标签是iphone设备中的safari私有meta标签,它表示:允许全屏模式浏览: 第三个meta标签也是iphone的私有标签,它指定的iphone中safari顶端的状态条的样式: 第四个meta标签表示:告诉设备忽略将页面中的数字识别为电话号码 <meta content=”width=device-width, initial-scale=1.0,

web前端开发规范

本文原创,这里首先声明,转载注明本文出处,翻版必究! web前端开发规范的现实意义 1.提高团队的协作能力 2.提高代码的重复利用率 3.可以写出质量更高,效率更好的代码 4.为后期维护提供更好的支持 5.可读性高 一.命名规则 1.html命名规则: a.文件名称命名规则:统一使用小写英文字母.数字.下划线的组合,不得包含汉字空格和特殊字符 2.命名原则:方便理解.方便查找 b.索引文件命名原则:index.html.index.htm.index.asp.index.aspx.index.j

web项目开发 之 前端规范 --- JavaScript编码规范

JavaScript编码规范 此文严格按照W3C规范和部分实际项目可读性,浏览器加载,性能等众多属性权衡,做出平时前端编码规范文档.供广大web工作者参考并实施,对维护和项目扩展升级都能省时省力. 场景:web前端开发中 一些Javascript的注意事项 和 规格建议: [参考百度资料 和个人一些总结] 1 前言 JavaScript 在百度一直有着广泛的应用,特别是在浏览器端的行为管理.本文档的目标是使 JavaScript 代码风格保持一致,容易被理解和被维护. 虽然本文档是针对 Java

麦子学院-Web前端开发工程师系列培训教程

HTML+CSS基础入门1.课程介绍2.html的语法3.html的基本结构4.html的文档设置标记上(格式标记)5.html的文档设置标记下(文本标记)6.html图像标记img7.html超链接的使用8.html表格相关的标记9.html表格实战<简单的网页布局>10.html框架详解与框架布局实战11.HTML表单设计(上)12.HTML表单设计(下)13.使用CSS样式的方式14.定义CSS样式(CSS选择器)15.CSS常用属性(颜色属性)16.css常用属性(字体相关属性)17.

[SOE] ArcGIS Server对象扩展(SOE)开发注意事项

ArcGIS  Server对象扩展(SOE)开发注意事项 1.SOE介绍 在ArcGIS 10.1中ArcGIS Server不在支持DCOM方式的连接,这也就意味着我们不能通过本地方式的连接使用ArcObjects提供的更多功能,所以我们推荐一种新的方式来实现这些功能,这种方式就是SOE服务器对象扩展.SOE存在于整个服务对象的生存期内,可以利用服务对象的资源并对其进行扩展.一个SOE通常在服务对象创建是初始化,并且在整个服务对象的生存期内只会被创建一次.SOE支持SOAP和REST两种访问

移动Web应用开发入门指南——交互篇

交互篇 从PC到移动端,视觉和交互是用户能直接感受到的差异.在视觉篇中已经提到,移动设备的物理属性一部分影响到视觉,另外一些部分将影响到交互.那么,移动设备影响交互的物理属性都有哪些变化呢?对于这个问题,相信大家都早有答案.传统PC的输入设备相对单一,一般情况下只有鼠标和键盘,而移动设备的硬件就变得非常丰富,触屏.触控笔.麦克风.陀螺仪和GPS等一应俱全.下面咱们就聊聊在移动Web开发中有关交互的一些问题. 手势 手势是移动Web与PC Web开发在用户接口上最大的一个差异,PC端主要考虑的是鼠

WEBAPP开发技巧(手机网站开发注意事项)

1.要响应式开发web,也就是页面必须自适应屏幕大小,可以采用流体布局,如之前的文章(自适应宽度布局),其他具体的小问题可以采用media query解决(让IE支持CSS3 Media Query实现响应式Web设计和CSS3 Media Queries):2.因为手机大多是高级浏览器,可以使用html5+css3开发:3.合理灵活的使用meta标签,具体如下: <meta content=”width=device-width, initial-scale=1.0, maximum-scal

移动端开发注意事项记录

移动端开发注意事项记录 1.移动端WEB开发常见问题 2.webapp开发技巧 3.移动端开发需要注意的20个要点 4.移动平台3G手机网站前端开发布局技巧汇总