Xss防御建议:
1. 后端对输入内容的特定字符进行编码,例如表示 html标记的 等符号。
2. 对重要的 cookie设置 httpOnly, 防止客户端通过document.cookie读取 cookie,此 HTTP头由服务端设置
3. 将不可信的值输出 URL参数之前,进行 URLEncode操作
核心思路:
不信任任何用户输入的数据
都要进行数据的格式审核/校验
CSRF防御建议:
表单增加csrf token
SQL注入:
1.禁止SQL拼接
因为 后端将 前端传递过来的数据,直接和 SQL模板进行了组装拼接,导致产生一条新SQL
2.必须使用 参数化
python、java、php都支持
命令/代码 注入
- 对参数做更严格的校验
文件下载漏洞
- 后台校验 文件下载路径
文件上传漏洞
1.绕过前端类型校验、验证后端是否有校验
类型,大小
越权访问漏洞
- 通过链接可以删除其他用户的数据
路径遍历
要避免路径遍历,需要注意以下几点:
(1)程序对非受信的用户输入数据净化,对网站用户提交过来的文件名进行硬编码或者统一编码,过滤非法字符。
(2)对文件后缀进行白名单控制,对包含了恶意的符号或者空字节进行拒绝。
(3)合理配置 web 服务器的目录权限。
跳转漏洞
1. 提示用户
2. 对跳转的目标URL进行黑白名单过滤
SSRF漏洞
1.请做好目标地址的过滤。
2.黑白名单
短信/邮件炸弹/暴力破解
式向服务器频繁请求数据短信下发接口,达到攻击的效果。
修改建议
短信加条数限制;
同一手机号的单位时间请求次数不应大于设定值
短信加频率限制
同一手机号两次的请求时间间隔不应小于设定值
添加验证码
提高了难度
测试方法
对于短信炸弹的验证,可以化归为对发短信接口的压力测试(并行测试),则测试方法为压力测试短信接口