当前位置: 首页 > news >正文

有哪些可以做外链的网站常州 网站 推广

news 2025/9/18 13:54:53
有哪些可以做外链的网站,常州 网站 推广,阿里云备案网站服务内容怎么填,蚌埠网站建设中心1、什么是OWASP? OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。 其最具权威的就是“10项最严重…

1、什么是OWASP?

OWASP(开放式Web应用程序安全项目)是一个开放的社区,由非营利组织 OWASP基金会支持的项目。对所有致力于改进应用程序安全的人士开放,旨在提高对应用程序安全性的认识。
其最具权威的就是“10项最严重的Web 应用程序安全风险列表” ,总结并更新Web应用程序中最可能、最常见、最危险的十大漏洞,是开发、测试、服务、咨询人员应知应会的知识。
最重要的版本
应用程序中最严重的十大风险

2、TOP   10   分别是哪些?

1. SQL注入

攻击方式

通过恶意字符将恶意代码写入数据库,使其运行,产生敏感数据泄露,数据库读取,进一步在数据库执行命令

攻击类型

  • 未审计的数据框架
  • 直接使用网址URL直接传递变量
  • 未过滤的特殊字符串
  • SQL错误回显
  • SQL注入
  • 获取敏感信息进一步在服务器执行命令,实现接管服务器的目的

防护措施

  • 关闭SQL错误回显
  • 对输入的字符做转译处理
  • 对前端输入做白名单验证(长度,类型)
  • 使用一个成熟的WAF
  • 白盒审计(代码审计)
  • SQL服务运行于专门的账号,并给予最小权限

2. 失效的身份认证

攻击方式

攻击者利用网站中身份认证缺陷,以此来获取高权限,攻击服务器

攻击类型

  • 弱口令
  • 盗用身份和账号
  • 修改网络数据包以此获取用户账号权限
  • 网站设计不良,可以绕过登录页面
  • 设计者忘记设置注销登录,使之有机可乘

防护措施

  • 网站的登录页面就使用加密连接
  • 网站应该具体良好的权限控制与管理
  • 网站应该具备超时注销机制

3. 敏感数据泄露

攻击方式

通过扫描发现应用程序有敏感信息

攻击类型

  • 应用人员或者开发人员无意间上传敏感数据到Github,导致网站文件泄露
  • 敏感数据文件设置错误,导致数据库备份文件泄露

防护措施

  • 对于github泄露,定期对仓库进行扫描
  • 对网站应用目录定期扫描

4. XML外部实体(XXE)

攻击方式

当应用程序解析XML文件时包含了对外部实体的的引用,通过构造恶意的XML代码,读取指定的服务器数据或资源。

攻击类型

  • 读取服务器的数据或者资源         /etc/password
  • 读取应用程序源码

防护措施

  • 关闭DTD
  • 禁止外部实体引入

5. 失效的访问控制

攻击方式

没有校验身份,直接导致攻击者绕过权限直接访问

攻击类型

  • 绕过路径,如未读取的参数进行检查,导致路径绕过并进行读取敏感文件操作
  • 权限提升,如未对权限进行检查,导致攻击者变更权限
  • 垂直越权,导致攻击者可以从普通用户权限提升到管理员的用户权限
  • 水平越权,导致攻击者可以从用户a的权限提升到用户b的权限

防护措施

  • 对参数的白名单做过滤
  • 对权限的控制管理重新设计与限制      最小权限
  • 限制下载文件的类型

6. 安全配置错误

攻击方式

攻击者利用错误的配置,访问敏感信息或者提升权限

目录遍历

攻击类型

  • 开发或者维护人员设置了错误的配置,如 python 开发中对于 Django 框架在生产环境启用了 Debug 模式
  • 目录遍历

防护措施

  • 检查文件扩展名
  • 重命名上传文件
  • 控制上传文件的权限,如关闭权限
  • 移除不常用的页面,如安装目录文件
  • 移除临时文件,备份文件
  • 不使用常用的、简单的命名规则,防止被猜测
  • 定义白名单

7. 跨站脚本(XSS)

攻击方式

攻击者使用恶意字符嵌入应用程序代码中并运行,盗取应用程序数据

攻击类型

  • 存储型XSS
  • DOM型XSS
  • 反射型XSS

防护措施

  • 验证输入/接收的字符,过滤或者替换非法字符
  • 使用白名单机制

8. 不安全的反序列化

攻击方式

攻击者利用应用程序反序列化功能,构造恶意的反序列化对象攻击应用程序

攻击类型

  • 远程代码执行RCE
  • 注入攻击
  • 越权
  • 远程命令执行

防护措施

  • 对数据对象签名,并作完整检查
  • 数据对象中的数据做严格的类型检查,限制一部分恶意攻击
  • 隔离反序列化操作环境,对序列化和反序列化进行白名单验证
  • 在执行反序列化之前,对用户输入数据执行验证和过滤

9. 使用含有已知漏洞的组件

攻击方式

使用应用程序中的框架、库、组件、工具等已知漏洞攻击,获取高权限或者敏感数据

攻击类型

  • 敏感信息泄露
  • 提升权限
  • 远程代码执行
  • SQL注入
  • 反序列化
  • 配置错误

防护措施

  • 及时更新、修复组件漏洞
  • 移除不再使用的依赖组件

10. 不足的日志记录和监控

攻击方式

对于日志记录的监控不足,导致攻击者攻击系统、应用、盗取数据等操作无法被及时发现和追查

攻击类型

  • 日志不规范
  • 监控告警不及时
  • 日志分析于人员技能缺失

防护措施

  • 规范化的日志设置,提供清晰易读的操作手册,以便于后期阅读和维护
  • 优化监控策略和报警流程,建立完善的规则库,以便于触发相关告警,及时通知相关人员处理
  • 加强人才培训和引进专业人才,安全意识培训,聘请专业经验丰富的加入团队,提高水平
http://www.yayakq.cn/news/982381/

相关文章:

  • 备案网站公共查询系统深圳定制网站制作
  • 招聘网站开发方案doc网站建设费用说明
  • 如何提高网站优化深圳建设局和住建局
  • 自己建立网站服务器重庆市建设医院网站
  • 自建网站怎么做后台管理系统wordpress弹出式侧边栏
  • 网站空间使用方法浏阳市商务局网站溪江农贸市场建设
  • vs做asp网站流程学校网站建设运行简介
  • 如何做网站新手搜狐做app的网站
  • 东莞免费建网站企业静态网页制作总结
  • 买奢侈品去哪个网站有正品上海美容论坛网站建设
  • 百度双站和响应式网站的区别平面设计网格
  • 同城购物网站建设网站策划编辑的职责
  • 软件工程师岗位职责seo怎么给网站做外链
  • 实战网站开发wordpress seo插件教程
  • 建设银行贷款网站如何自己做的网站
  • 哪里专业做网站苏州美丽乡村建设网站
  • 商城类型的网站怎么做营销背景包括哪些内容
  • 网站开发与兼容模式小程序ui界面设计
  • 体验比较好的网站校园网站建设管理制度
  • 网站提示域名重定向怎么做大连制作网站软件
  • 网站怎么用栏目做地区词网站建设佰首选金手指二六
  • 网站建设工作室赚钱吗网站建设设计维片
  • 网站模板制作与安装教程关于网站备案的44个问题
  • WordPress修改站点名称_现在学ui吃香吗
  • 个人网站做电影网站镜美硅藻泥网站是那家公司做的
  • 深圳企业网站建设标准淄博临淄网站建设
  • 怎么让网站快速被收录做网站注册商标
  • 网站开发php jshtml5培训网站模板
  • 做网站公司昆山荥阳在线
  • 郑州睿网站建设计算机网站开发就业形势