<th id="v9g6b"><track id="v9g6b"></track></th>

  • <em id="v9g6b"><acronym id="v9g6b"></acronym></em>
    <progress id="v9g6b"><pre id="v9g6b"></pre></progress>
    <tbody id="v9g6b"></tbody>
    <button id="v9g6b"><acronym id="v9g6b"></acronym></button>
    <rp id="v9g6b"><ruby id="v9g6b"></ruby></rp>

        <dd id="v9g6b"></dd>

        <em id="v9g6b"></em>

          Web安全问题及防范规范之目录遍历_B/S开发框架

          Web站点为什么会遭受攻击?是为了恶作剧?损害企业名誉?免费浏览收费内容?盗窃用户隐私信息?获取用户账号谋取私利?总之攻击方式层出不穷,作为B/S开发框架来说,帮助开发者做好解决安全问题也是刻不容缓的,本篇文章来告诉大家怎么防范目录遍历致使系统漏洞的暴露。

          适用范围

          云微开发平台web开发框架

          攻击原理

          WEB开发框架开发出来的项目中攻击者通过访问根目录,发送一系列”../”字符来遍历高层目录,并且可以执行系统命令,甚至使系统崩溃。

          例:http://www.bad.com/../autoexec.bat

          URL中的“.../”告诉服务器上溯一个目录,也就是“C:\”目录(Web 服 务器可以将斜杠转换为反斜杠)

          所以如果IIS服务器默认目录为“ c:\inetpub”,那么该URL会转到“C:\”目录,攻击者将能够看到 “c:\autoexec.bat”文件。

          B/S开发框架--目录遍历启用

          管理处理

          1、不能允许目录浏览,IIS的站点主页双击目录预览中,设置禁止状态。

          web开发框架--目录遍历禁用


          2、防止暴露物理路径。在IIS错误页配置中,设置为“本地请求的详细错误和远程请求的自定义错误页”。

          云微开发平台--目录遍历错误页

          3、净化数据:对用户传过来的文件名参数进行硬编码或统一编码,对文件类型进行白名单控制,对包含恶意字符或者空字符的参数进行拒绝。

          对用户传过来的文件名参数进行硬编码或统一编码,

          post提交的方式:使用过滤器,将到达页面前的request对象中的字符编码设定成跟你页面统一的编码;

          get提交的方式:<%String str = new String(request.getParameter("content").getBytes("ISO-8859-1"),"utf-8"); %>这样的字符串重组的方法。

          超级链接方式:先将链接url中的汉字用URLEncoder.encode("paramValue","charset")方法处理一下。

          对文件类型进行白名单控制,根据需求判断文件后缀名(.doc .text )类型文件才允许上传到服务

          对包含恶意字符或者空字符的参数进行拒绝,在服务端接收到参数加以验证.

          4、使用绝对路径+参数来访问文件目录,时使其即使越权也在访问目录之内。

          物理处理

          Web站点为什么会遭受攻击?是为了恶作剧?损害企业名誉?免费浏览收费内容?盗窃用户隐私信息?获取用户账号谋取私利?总之攻击方式层出不穷,作为B/S开发框架来说,帮助开发者做好解决安全问题也是刻不容缓的,本篇文章来告诉大家怎么防范目录遍历致使系统漏洞的暴露。
          标签: B/S开发框架Web安全问题及防范规范标签

          网站&系统开发技术学习交流群:463167176

          本站文章除注明转载外,均为本站原创或翻译,欢迎任何形式的转载,但请务必注明出处,尊重他人劳动,共创和谐网络环境。
          转载请注明:文章转载自:华晨软件-云微开发平台 ? Web安全问题及防范规范之目录遍历_B/S开发框架
          本文标题:Web安全问题及防范规范之目录遍历_B/S开发框架
          本文地址:http://www.sajuice.com/OrgTec/Back/0018.html

          相关文章: Web安全问题及防范规范之弱口令

          电话
          电话 18718672256

          扫一扫
          二维码
          本港台开奖 <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>