网站高危漏洞SQL注入漏洞、XSS跨站脚本漏洞的解决方法:
SQL注入漏洞的解决方案:
1、将所有用户输入的数据严格检查,对数据库配置使用最小权限原则;
2、所有的查询语句使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中;
3、对能进入到数据库特殊字符进行转义处理,或编码转换;
4、数据长度的规定,防止较长的SQL注入语句无法正确执行;
5、网站数据层的编码统一,全部使用UTF-8编码,上下层编码不一致会导致过滤模型被绕过;
6、确认每种数据的类型,例如:数字型的数据规定用数字;
7、避免网站显示SQL错误信息,例如:类型错误、字段不匹配等;
8、严格限制网站用户的数据库的操作权限;
网站XSS跨站脚本漏洞的解决方案有哪些
XSS跨站脚本漏洞使得攻击者可以欺骗用户访问包含恶意JavaScript代码的页面,使得恶意代码在用户浏览器中执行,从而导致目标用户权限被盗取或数据被篡改。
网站XSS跨站脚本漏洞的解决方案:
1、如果输入的所有字样都是可疑的,可以对所有输入中的script、iframe等字样严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP请求中的Cookie中的变量,HTTP请求头部中的变量等。
2、验证数据类型需要扩展,比如:验证其格式、长度、范围和内容等。
3、客户端做数据的验证与过滤时,关键的过滤步骤在服务端进行。
4、对输出的数据严格检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。
5、网站发布前,需要先检测所有可能性的威胁。
高危漏洞还有其他的解决方案如下,网站高危漏洞的解决方案:
1、页面存在源代码泄露
① 配置好服务端语言解析,防止解析失败而导致源码泄露;
② 关闭网站错误调试机制,防止因为报错而导致源码泄露;
2、网站存在备份文件
删除检测出的备份文件,或者将这类文件从网站目录下移走。
3、网站存在包含SVN信息的文件
删除网站目录下的SVN信息,不要使用SVN目录作为网站的目录。
4、网站存在Resin任意文件读取漏洞
删除resin_doc相关目录与文件。
关注“柒点传媒”
关注“企师爷”
湖南省柒点文化传媒有限公司 版权所有