面对XSS(cross site scripting,跨站脚本攻击,在网页中嵌入恶意脚本,以盗取客户端cookie,等,下载木马程序,获取客户端admin权限等),在我们的程序中对输入代码进行转义;
面对CRSF(cross site request forgery,跨站请求伪造),我们一般将cookie 设置成readonly; 增加token;通过referer识别等;
面对SQL注入(将SQL命令伪装成http请求),我们一般使用预编译语句;使用ORM框架;避免密码明文存储等;
面对文件上传漏洞(利用服务器没有对上传文件进行校验,从而上传恶意脚本),我们读取上传文件的前28个字节,转成16进制数,与文件头比较,判断文件类型。
常见文件联系如下:
JPEG:FFD8FF
PNG:89504E47
GIF:47494638
TIFF:49492A00
BMP:424D
DWG:41433130
PSD:38425053
XML:3C3F786D6C
HTML:68746D6C3E
PDF:255044462D312E
ZIP:504B0304
RAR:52617221
WAV:57415645
AVI:41564920
面对DDOS(distributed denial of service,分布式拒绝服务攻击,利用合理客户端请求来过多占用服务器资源,导致客户不可用),我们一般就需要第三方的合作伙伴了。