上傳漏洞、登錄頁暴力破解的危害性比較大,由於一旦成功,便等於得到了寫文件或更改網站配置的權限,從而方便進一步提權,瀏覽器
下面是針對這兩種威脅的防範手段:服務器
上傳漏洞 ============================================================================================================== * 「文件上傳漏洞」,包括但不限於 - http請求頭MIME欺騙、 - 文件名或目錄名%00截斷上傳、 - 雙文件上傳、 - 瀏覽器路徑解析漏洞、 - 圖片一句話木馬+文件包含、 - 未受權直接自構表單上傳 * 文件上傳防護方案: - 1.客戶端檢測,使用JS對上傳圖片檢測,包括文件大小、文件類型等 - 2.服務端檢測,對文件大小、文件路徑、文件擴展名、文件類型、文件內容檢測,對文件重命名 - 3.其餘限制,服務器端上傳目錄設置不可執行權限 防止登陸頁暴力破解 =============================================================================================================== * 驗證碼或令牌驗證(在檢查用戶名、密碼以前優先檢查驗證碼,服務端限制驗證碼不爲空、每驗證一次就清空session的驗證碼信息)。 * 登陸失敗次數限制。必定時間內登陸失敗多少次就封號,就算接下來猜對了密碼也提示用戶名或密碼失敗。 * ip或代理黑名單。 * 提示信息,不管用戶名正確與否,老是提示用戶名或密碼錯誤。