从网站建设开始，你就应该采取这些安全措施。如果你的网站做到了以下几点，那就相对安全了。如题，网站常见的21个漏洞及其防范方法。

1、越权

描述:不同权限的账户之间存在未授权访问。

建议:加强用户权限的验证。注意:不同权限的用户经常访问、cookie、修改id等。

2.明文传输

描述:系统用户密码保护不足，攻击者可以利用攻击工具从网络上窃取合法用户密码数据。

建议:传输的密码一定要加密。注意:所有密码都应该加密。它需要复杂的加密。不要使用base64或md5。

3.sql注入

描述:攻击者可以利用sql注入漏洞获取数据库中的各种信息，比如管理后台的密码，从而删除数据库的内容(de-database)。

建议:过滤并验证输入参数。采用黑白名单。注:过滤和验证应涵盖系统中的所有参数。

4.跨站点脚本攻击

描述:攻击者在不检查输入信息的情况下，可以通过巧妙的方法将恶意指令代码注入网页。这个代码通常是JavaScript，但实际上也可以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻击成功后，攻击者可以获得更高的权限。

建议:过滤并验证用户输入。输出HTML实体编码。注意:过滤、检查和HTML实体编码。覆盖所有参数。

5.文件上传漏洞

描述:文件上传没有限制。可以上传可执行文件或脚本文件。进一步导致服务器坠落。

建议:对上传的文件进行严格验证，防止上传asp、aspx、asa、php、jsp等危险脚本。同事最好加入文件头验证，防止用户上传非法文件。

6.后台地址泄漏

描述:后台地址过于简单，方便了攻击者对后台的攻击。

建议:修改后台地址链接，使其更复杂。

7.敏感信息的披露

描述:系统公开内部信息，如网站绝对路径、网页源代码、SQL语句、中间件版本、程序异常等信息。

建议:过滤掉用户输入的异常字符。屏蔽了一些错误回波，如自定义404、403、500等。

8.命令执行漏洞

描述:脚本程序调用system、exec、shell_exec等。php的。

建议:打补丁，严格限制系统中需要执行的命令。

9.目录遍历漏洞

描述:公开目录信息，如开发语言和站点结构。

建议:修改相关配置。

10.会话重放攻击

描述:数据包重复提交。

建议:增加令牌验证。或者时间戳或图片验证码。

11.CSRF(跨站点请求伪造)

描述:利用登录用户在其不知情的情况下执行某些操作的攻击。

建议:增加令牌验证。或者时间戳或图片验证码。

12.任何文件包括和下载。

说明:任何文件都包含，系统对传入的文件名没有合理的检查，从而操作了意外的文件。下载任意文件，系统提供下载功能，但对下载文件名没有限制。

建议:对用户提交的文件名进行限制。防止恶意文件读取和下载。

13.设计缺陷/逻辑错误

描述:程序通过逻辑实现丰富的功能。在许多情况下，逻辑功能是有缺陷的。比如程序员的安全意识，考虑不周全等。

建议:加强程序的设计和逻辑判断。

14.XML实体注入

描述:当允许引用外部实体时，它可以导致读取任意文件、执行系统命令、探测内部网端口等。通过构建恶意内容。

建议:使用开发语言提供的禁用外部实体的方法过滤用户提交的XML数据。

15.检测具有风险的不相关服务和端口。

描述:检测有风险的无关服务和端口，为攻击者提供便利。

建议:关闭无用的服务和端口，前期只开放80和数据库端口，使用时开放20或21端口。

16.登录功能验证码漏洞

描述:恶意重复发送一个有效数据包到服务器。服务器不能有效地限制用户提交的数据包。

建议:验证码在服务器后端刷新，提交数据包时刷新一次数据号。

17.不安全的饼干

描述:cookies包含敏感信息，如用户名或密码。

建议:从cookies中删除用户名和密码。

18、SSL3.0

描述:SSL是一种安全协议，为网络通信提供安全性和数据完整性。SSl会爆一些洞。如:心脏漏血。

建议:升级OpenSSL版本

19.SSRF脆弱性

问题描述:服务器请求是伪造的。

建议:打补丁或者卸载无用的包。

20.默认密码和弱密码

问题描述:因为默认密码和弱密码很容易被猜到。

建议:加强密码强度不适用于弱密码。注意:不要在密码中使用常用词。例如root123456，admin1234，qwer1234，p@ssw0rd等。

上一篇：如何避免网站建设中出现问题？