「上傳漏洞」以及「登陸頁暴力破解」的防護

上傳漏洞、登錄頁暴力破解的危害性比較大,由於一旦成功,便等於得到了寫文件或更改網站配置的權限,從而方便進一步提權,瀏覽器

下面是針對這兩種威脅的防範手段:服務器

上傳漏洞
==============================================================================================================
*	「文件上傳漏洞」,包括但不限於
	-	http請求頭MIME欺騙、
	-	文件名或目錄名%00截斷上傳、
	-	雙文件上傳、
	-	瀏覽器路徑解析漏洞、
	-	圖片一句話木馬+文件包含、
	-	未受權直接自構表單上傳

*	文件上傳防護方案:
	-	1.客戶端檢測,使用JS對上傳圖片檢測,包括文件大小、文件類型等
	-	2.服務端檢測,對文件大小、文件路徑、文件擴展名、文件類型、文件內容檢測,對文件重命名
	-	3.其餘限制,服務器端上傳目錄設置不可執行權限








防止登陸頁暴力破解
===============================================================================================================
*	驗證碼或令牌驗證(在檢查用戶名、密碼以前優先檢查驗證碼,服務端限制驗證碼不爲空、每驗證一次就清空session的驗證碼信息)。
*	登陸失敗次數限制。必定時間內登陸失敗多少次就封號,就算接下來猜對了密碼也提示用戶名或密碼失敗。
*	ip或代理黑名單。
*	提示信息,不管用戶名正確與否,老是提示用戶名或密碼錯誤。
相關文章
相關標籤/搜索