制作安全网站的checklist
fcicq最近在IPA上看到一篇安全相关的文章,它的最末尾有个checklist,于是催我把它翻译了。前几天比较忙,周末没什么事儿了,就翻译一下吧。
原文的标题是如何让网站更安全。这里仅翻译文章最后的一个checklist。
2008/4/20更新:fcicq倒是神速啊,马上就把具体的应用策略扔出来了
参考:PHP 实践 Security Checklist
标有 (*) 的检查项目表示该项是针对相关问题的根本解决方法,应当尽最大努力去完成这些内容。未标 (*) 的项目,表示该项并不能完全消除安全隐患,只是说通过这种方法可以避免发生安全问题。最后一条似乎没什么意思,不翻译了。
- SQL注射
- (*) 在组合SQL语句时要使用SQL变量绑定功能
- (*) 如果数据库不提供变量绑定,那么需要对构成SQL的所有变量进行转义
- 不要将错误信息原封不动地显示在浏览器中。
- 为访问数据库的用户设置适当的权限。
- 操作系统命令行注射
- (*) 避免使用能启动shell命令的语言
- 使用的语言如果允许启动shell命令,则需要对该功能的参数种的所有变量进行检查,确保只包含合法的操作
- 不检查路径名参数/目录遍历
- (*) 不要将外部传进来的参数直接作为文件名来使用
- (*) 将打开文件的操作限制在固定的目录中,并禁止文件名中包含路径
- 为Web服务器上的文件设置正确的访问权限
- 检查文件名
- 会话管理的问题
- (*) 用难以推测的内容作为会话ID
- (*) 不要在URL中保存会话ID
- (*) 为https协议中使用的cookie设置secure属性
- (*) 登录成功后生成新的会话
- (*) 登录成功后,在会话ID之外再生成一个秘密信息,每次访问页面时都检查之
- 不使用固定值作为会话ID
- 将会话ID保存到Cookie中时,要设置有效期限
- 跨站脚本攻击(XSS)
- 不允许输入HTML内容时的解决方法
- (*) 输出到页面上的所有内容都要转义
- (*) 输出URL时仅允许以“http://”或“https://”开头的URL
- (*) 不要动态生成<script>...</script>的内容
- (*) 不要从外部网站读入样式表
- 检查输入内容
- 允许输入HTML内容时的解决方法
- (*) 解析输入的HTML内容,生成解析树,然后提取其中的非脚本部分
- 使用脚本删除输入的HTML内容中的相关字符串
- 通用解决方法
- (*) 应答的HTTP头重指定Content-Type的charset属性
- 为避免Cookie情报泄漏,应禁止Trace方法,并对所有Cookie设置HttpOnly属性
- 不允许输入HTML内容时的解决方法
- 跨站请求伪造(CSRF)
- (*) 所有页面都通过POST来访问,在前一页面的hidden中随机生成一个信息,提交后的页面检查该信息,正确时才予以执行
- (*) 执行业务之前再次要求输入密码
- (*) 确认Referer是否正确,只有正确时才执行
- 执行重要操作时,向预先设置的邮件地址中发送邮件
- HTTP头注射
- (*) 不直接输出HTTP头,而使用运行环境提供的头信息输出API
- (*) 无法使用API时,要禁止输入的头信息中的换行
- 删除所有外部输入中的换行
- 邮件盗用(通过某种手段使邮件发送到攻击者指定的地址)
- (*) 不使用外部参数作为邮件头信息
- 必须用外部参数设置头信息时,要删除其中的危险字符。
相关文章:
百变冰冰!手把手教你实现CVPR2021最新妆容迁移算法
作者:小潘师兄来源:AI算法与图像处理简介在本文中,我们从不同的角度将妆容迁移问题分解为两步提取-分配过程。为此,我们提出了一种基于风格的可控GAN模型,该模型由三个部分组成,每个部分分别对应于目标风格…
Vlan 4096的限制原因
为什么80%的码农都做不了架构师?>>> VLAN配置的最大可能值为4094,它的由来如下所述: IEEE802.1q协议也就是“Virtual Bridged Local Area Networks”(虚拟桥接局域网,简称虚拟局域网)协议&#…
Hive 数据模型
Hive 数据模型 Hive 数据表有五种类型:内部表,外部表,分区表,桶表,视图表,默认以 tab 分隔 * MySQL (Oracle) 表默认以逗号分隔,因此,要想导入 MySQL(Oracle) 数据,需要设…
完整中英文世界国家级联下拉列表插件【前端版】
为什么80%的码农都做不了架构师?>>> 这个小东西是之前小项目上临时增加功能的产物,那时候在网上找了很久都没有能用的插件,要么是数据残缺少得可怜,还有就是实现手段非常低效不可维护那种,各种奇拔问题&am…
何时使用margin和padding?
margin和padding的意义相信大家都很清楚,可是在具体应用中,到底应该使用哪一个,就比较难于判断了。 这篇文章 说得挺清楚的,在这里翻译一下,供参考。 何时应当使用margin 需要在border外侧添加空白时。 空白处不需要…
10年IT老兵给新人程序员的几点建议
【CSDN 编者按】对于很多计算机专业的同学而言,“进大厂”已经成为毕业后职业道路的首选。但是面试官最喜欢什么样的应届生你知道吗?在校期间应该为找工作做哪些准备?除了技术好,在职场中还有哪些必备软实力?今天&…
asp.net文件上传下载的简单实现
使用FileUpload上传: protected void btnUpload_Click(object sender, EventArgs e) { if (FileUpload1.HasFile) { /*通过文件扩展名判断文件类型*/ string fileExt System.IO.Path.Ge…
JAVA数组的定义及用法
数组是有序数据的集合,数组中的每一个元素具有同样的数组名和下标来唯一地确定数组中的元素。 1. 一维数组 1.1 一维数组的定义 type arrayName[]; type[] arrayName; 当中类型(type)能够为Java中随意的数据类型,包含简单类型组合类型,数组名…
英特尔公布新技术路线图,将为 AWS、高通代工芯片
编译|刘春霖出品|AI科技大本营(ID:rgznai100)图源|IC photo今天英特尔宣布其旗下的工厂将开始制造高通芯片,并公布了公司有史以来最详细的制程工艺和封装技术路线图,希望在 2025 年前赶上台积电、三星电子。除了公布其近十多年来首个全新晶体管架构 Ribb…
epoll相关资料整理
http://www.cppblog.com/converse/archive/2008/10/13/63928.htmlepoll相关资料整理 学习epoll有一段时间了,最近终于有一个服务器采用了epoll模型,从中积累了一些epoll的资料.个人感觉目前可以找到的epoll相关的资料太少了,因为epoll仅被linux 2.6以上版本内核所支持,它的应用…
18.绝对路径和相对路径
什么是绝对路径(Absolute Pathname)? 1.绝对路径必定由“/”开头 2.绝对路径是为档案/文件的所在位置做指向 3.在任何时候,都可以用绝对路径来找到我们想要的文件 PS:绝对路径只对当前所在目录有效。 什么是相对路径&a…
IE的box模型显示bug
原作者charlee、原始链接http://tech.idv2.com/2007/01/02/ie-box-model-bug/以及本声明。 box模型即由<div>等块元素的 margin、padding、border、width、height 等属性构成的显示模型,它是CSS布局的基础。通过设置<div>的各种属性,可以得到…
AI 能匹敌程序员了吗?OpenAI 新研究展示 NLP 大模型的局限性
作者:Ben Dickson来源:数据实战派Codex在一篇新论文中,OpenAI 的研究人员展示了 Codex 的详细信息,它是一种生成软件源代码的深度学习模型。Codex 可以为 OpenAI 和 GitHub 联合开发的 “AI 配对程序员” 工具 Copilot 提供支持。…
MSLicensing中断远程桌面连接
---------------------------中断远程桌面连接---------------------------客户端无法建立跟远程计算机的连接。导致这个错误的可能的原因是:1) 远程计算机上的远程连接可能没有启用。2) 已超出远程计算机上的连接最大数。3) 建立连接时出现了一个网络错误。------------------…
如何恢复,迁移,添加, 删除 Voting Disks
如何恢复,迁移,添加, 删除 Voting Disks 恢复流程 在11gR2 之前,我们可以直接直接使用dd命令对voting disk进行备份。 DD示例 备份votedisk盘: [rootraw1 bin]# dd if/dev/raw/raw2 of/home/oracle/voting_disk.bak 恢复votedisk盘…
跨站脚本攻击(XSS)FAQ
原作者charlee、原始链接http://tech.idv2.com/2006/08/30/xss-faq/以及本声明。 该文章简单地介绍了XSS的基础知识及其危害和预防方法。Web开发人员的必读。译自 http://www.cgisecurity.com/articles/xss-faq.shtml。 简介 现在的网站包含大量的动态内容以提高用户体验&…
linux中的for命令
bash shell提供了for命令,用于创建通过一系列值重复的循环。每次重复使用系列中的一个值执行一个定义的命令集。for命令基本格式为:for var in listdo commandsdone1.读取列表中的值 #!/bin/bash #basic for command for test in a b c d e f doecho The…
终于有人把计算机视觉讲明白了 。。。
机器学习是目前比较热门的技术,包含深度学习、强化学习、对抗学习、对偶学习、迁移学习、分布式学习、以及元学习等内容。得益于大数据、大模型、大计算的发展,深度学习在计算机视觉、语音处理、自然语言方面相继取得了突破,达到甚至超过了人…
mysql启动与关闭(手动与自动)
手动管理mysql的启动与关闭 [rootmysql ~]# service mysql start --手动启动mysql Starting MySQL. SUCCESS! [rootmysql ~]# service mysql stop --手动关闭mysql Shutting down MySQL.. SUCCESS! [rootmysql ~]# mysqld --verbose --help --查看MySQL的默认参数的具体值 如果…
C#中抽象类和接口的区别
一、抽象类:抽象类是特殊的类,只是不能被实例化;除此以外,具有类的其他特性;重要的是抽象类可以包括抽象方法,这是普通类所不能的。抽象方法只能声明于抽象类中,且不包含任何实现,派…
echo向文件中写入
echo命令向一个文件写入内容的方法详解,感兴趣的朋友可以参考下。 覆盖型写法 (文件里原来的内容被覆盖)echo "aaa" > a.txtecho aaa > a.txt 添加型写法 (新内容添加在原来内容的后面)echo "aaa" >> a.txtecho aaa >…
火山引擎向企业客户开放上万款抖音同款特效
你喜爱的抖音特效,在其他平台上也能使用了。 7月28日,抖音联合火山引擎举办特效技术开放日,首次披露抖音特效的生产流程和技术原理。活动中,火山引擎宣布已向企业客户开放了上万款抖音同款特效,包括猴哥、漫画惊讶脸…
5.1 python的缩进
python 并不像其他语言一样要求以大括号来分辨逻辑,仅仅使用 tab 键(默认的四个空格)来区分代码。比如 ainput(Please input a num: ) b0 if int(a)>b: print(a>0) else: print(a<0) 返回结果:当输入小于0时,…
centOS 自动安装php
centos下安装php#yum install -y php这个只安装PHP建议安装运行库及MySQL的支持#yum install -y php php-devel php-mysql如果你的系统是CentOS 5.6那么上面这条命令安装的是PHP 5.1,要安装 PHP 5.3则执行下面的命令:#yum install -y php53 php53-devel php53-mysql自动安装启动…
strcpy_s与strcpy的比較
strcpy_s和strcpy()函数的功能差点儿是一样的。strcpy函数,就象gets函数一样,它没有方法来保证有效的缓冲区尺寸,所以它仅仅能假定缓冲足够大来容纳要拷贝的字符串。在程序执行时,这将导致不可预料的行为。用strcpy_s就能够避免这…
抖音发布特效数据报告:每五个投稿有一个使用特效
7月28日,抖音与火山引擎联合举办特效技术开放日,首次发布了《抖音特效数据报告》。报告显示,2021上半年 ,抖音平台平均每天上线超过100个新款特效;平均每五个投稿里,就有一个使用特效,特效已经成…
11G RAC 进程启动顺序
本文转自 张冲andy 博客园博客,原文链接:http://www.cnblogs.com/andy6/p/6041171.html ,如需转载请自行联系原作者
使用 jQuery 简化 Ajax 开发
JSON 入门指南 <script languageJavaScript typetext/javascript> </script> <script languageJavaScript typetext/javascript> </script> 级别: 初级 廖 雪峰, 撰稿人 2008 年 8 月 22 日 JSON 即 JavaScript Object Natation…
AI一眼识别这是什么鸟 “我们来找茬”十级选手诞生
话说,你能看出这三只鹦鹉有什么不一样吗?脸盲如我,要使出玩“我们来找茬”的十级能力。AWSL,鹦鹉鹦鹉,傻傻分不清楚。结果,AI一顿操作猛如虎,进行了判断:左边的是桃面牡丹鹦鹉&#…
stm32时钟树讲解
1.管理好时钟,功耗才能更低