网站建设中常见的20个安全漏洞及预防方法（二）

11

CSRF（跨站请求伪造）

问题描述：攻击者利用已登录用户的凭证，在用户不知情的情况下执行恶意操作。

修改建议：实施Token验证，结合时间戳或图形验证码增强安全性。

12

任意文件包含、任意文件下载

问题描述：系统对输入的文件名缺乏有效校验，导致可以访问预期外的文件。文件下载功能未限制下载文件名，可能引发安全隐患。

修改建议：限制用户提交的文件名，防止恶意文件读取和下载。

13

设计缺陷/逻辑错误

问题描述：程序的丰富功能往往基于复杂的逻辑，但这些逻辑可能存在缺陷，如开发者安全意识不足或考虑不周全。

修改建议：强化程序设计，提高逻辑判断的严谨性。

14

XML实体注入

问题描述：当允许引用外部实体时，攻击者可能构造恶意XML内容，读取任意文件、执行系统命令或探测内网端口。

修改建议：利用开发语言特性禁用外部实体，过滤用户提交的XML数据。

15

检测存在风险的无关服务和端口

问题描述：开放的风险服务和端口为攻击者提供了便利。

修改建议：关闭不必要的服务和端口，仅开启80和数据库端口，按需开放20或21端口。

16

登陆功能验证码漏洞

问题描述：服务端未能有效限制重复发送的有效数据包，使恶意用户得以持续尝试。

修改建议：验证码在服务器端动态刷新，每次数据包提交后立即更新。

17

不安全的cookies

问题描述：cookies存储了如用户名、密码等敏感信息，容易被窃取。

修改建议：移除cookies中的用户名和密码。

18

SSL3.0

问题描述：SSL是一种保障网络通信安全和数据完整性的协议，但SSL3.0可能存在如“心脏滴血”等漏洞。

修改建议：升级到更安全的OpenSSL版本。

19

SSRF漏洞

问题描述：服务端请求伪造，攻击者利用此漏洞发起内部网络的请求。

修改建议：打补丁或卸载无用的软件包以减少风险。

20

默认口令、弱口令

问题描述：默认口令和弱口令容易被猜测，降低了系统安全性。

修改建议：加强口令强度，避免使用常见的弱口令，如"root123456"、"admin1234"、"qwer1234"、"p@ssw0rd"等。