作WEB開發的時候，前端與後端咱們應該要注意哪些細節，哪些容易出現的漏洞？

　　寫這篇文章的時候，我和團隊正在處理項目漏洞問題，發現這些都是細節但又容易在項目實現的過程當中忽視的部分，鑑於此，我想總結下來，方便之後出現相似問題能及時獲得解決。

　　一、任意文件上傳漏洞。

　　　   描述：容許用戶上傳任意文件可能讓攻擊者注入危險內容或惡意代碼，並在服務器上運行。

　　　　利用：文件上傳能夠修改後綴致使能夠上傳任意文件，任意文件上傳後都會返回SUCCESS成功。

　　　　方案：經過獲取文件流對文件信息頭部某些特殊的信息進行驗證判斷，這樣及時想經過修改文件後綴也無法矇騙過關。具體代碼操做可參考這篇博文，

                   http://www.cnblogs.com/bojuetech/p/5907910.html

 

　　二、登錄密碼明文傳輸

　　　　描述：登錄密碼明文傳輸，cookie中密碼CMD5能夠解密。

　　　　利用：經過抓包工具抓包在cookie中發現明文傳輸的用戶名和密碼，其中密碼能夠經過CMD5解密，此漏洞形成了登錄信息泄露。

　　　　方案：①禁止將用戶帳號密碼存入本地；

                    ②後臺加密增長閥值操做；

 

　　三、存儲型跨站

　　　　描述：Web程序沒有對攻擊者提交的含有可執行代碼的輸入進行有效校驗，在某些頁面返回給訪問改Web程序的任意用戶，致使這些代碼在用戶的瀏覽器進行執行。

　　　　利用：容許攻擊者注入危險內容或惡意代碼

　　　　方案：一、在JAVASCRIPT中展現用戶可控數據，須要對用戶可控數據作轉譯

　　　　　　　二、對用戶輸入的內容進行鍼對=mailto:~!@#$%^&*()_+|\=-{[}]:;&quot;]~!#$%^&*()_+|\=-{[}]:;"'<,>.?/這些字符的過濾和替換

 

　　四、Cookie未做安全防禦

　　　　描述：攻擊者可利用xss等漏洞進行攻擊獲取用戶cookie信息，並利用其cookie信息登陸用戶帳戶

　　　　利用：根據xss獲取測試用戶cookie信息，發現用戶cookie沒有httponly和其餘安全防禦。當用戶退出登陸時，從新發送登陸時訪問界面的數據包，可直接獲取用戶登陸狀態

　　　　方案：一、設置Cookie http only屬性；

　　　　　　　二、直接去掉登陸頁面的保存密碼功能；

 

　　五、Apache tomcat版本信息泄露

　　　　描述：攻擊者可從中的值apache tomcat的版本信息

　　　　利用：有經驗的開發者或hacker們能夠從 這些目錄得知當前站點的信息，如開發語言、服務器系統、站點結構，甚至一些敏感的信息。並根據其版本信息及已知公開漏洞進行攻擊

　　　　方案：對apche tomcat進行相關配置。

 

 

以上是基本漏洞，對於這些漏洞暫時現給出大概的描述，對於具體處理，後續會陸續推出具體解決思路與代碼。

感謝支持！