根据您的经验,您在网站漏洞方面发现,工作或遭遇过什么?您采取了哪些措施来缓解这些问题?
这可能包括XSS(跨站点脚本),SQL注入攻击,普通旧DDOS或网站客户的网络钓鱼尝试。就在昨天,我偶然发现了一整套用于审核网站的Firefox工具及其各种漏洞的可能性。
希望扩大我在这个领域的知识以获得一个角色,所以阅读或学习的更多信息总是很好 - 固体链接也很受欢迎!你所见过的最糟糕的战争故事或你见过的最恐怖的洞 - 从经验中学习有时是最好的方式!
答案 0 :(得分:1)
我加入了一个包含文档库的Web应用程序项目。它引用文档的方式类似于http://example.com/getdocument?file=somefile.pdf。当然我只需要尝试file = / etc / passwd,当然它有效。
解决方案:执行用户输入清理和/或在URL和实际文件系统资源中请求的资源之间使用某种级别的抽象。
这是SQL注入攻击的表亲。检查任何允许的可疑请求会给客户端过多控制的请求。