网站漏洞扫描工具设计

知识教程-转载于天翼云 5个月前大兵云服务器

30 0 0

由于程序员在编写程序时对用户提交的数据没有做充分的合规性判断和进行HTML编码处理，直接把数据输出到浏览器客户端，这样导致用户可以提交一些特意构造的脚本代码或HTML标签代码，并在输出到浏览器时被执行，因此网站的设计完成之后一定要对漏洞进行扫描，扫描漏洞就需要路东扫描工具。网站的使用过程中，往往需要对网站中的文件进行修改、升级。此时就需要对网站整站或者其中某一页面进行备份。当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站web目录下，而该目录又没有设置访问权限时，便有可能导致备份文件或者编辑器的缓存文件被下载，导致敏感信息泄露，给服务器的安全埋下隐患。每一步都产生一个验证码作为hidden表单元素嵌在中间页面，下一步操作时这个验证码被提交到服务器，服务器检查这个验证码是否匹配。这为攻击者增加了麻烦，而且攻击者必须在多步流程中拿到上一步产生的效验码才有可能发起下一步请求，这几乎无法做到的。关闭Web容器的目录浏览功能，比如IIS中关闭目录浏览功能：在IIS的网站属性中，勾去“目录浏览”选项；在防范遍历路径漏洞的方法中，最有效的是权限的控制，谨慎的处理向文件系统API传递过来的参数路径。数据净化，对网站用户提交过来的文件名进行硬编码或者统一编码，对文件后缀进行白名单控制，对包含了恶意的符号或者空字节进行拒绝。