软件网站安全性的设计与检测与解决方案

软件网站安全性的设计与检测与解决方案 

安全性测试主要从以下方面考虑：

  1.SQL Injection(SQL注入)

见“防止SQL注入解决方案”一文

  2.Cross-site scritping(XSS):(跨站点脚本攻击)

见“XSS跨站点脚本攻击解决方案”一文

  3.CSRF:(跨站点伪造请求)
 4.Email Header Injection(邮件标头注入)  
  5.Directory Traversal(目录遍历)
 6.exposed error messages(错误信息)

7管理入口查找；

8认证绕过

a.用户敏感资料查看时，要确定权限，只可以看本人的。

b.敏感资料修改提交时，也要确定权限，是本人的

c.用户自激活时，需要设定一次性使用及使用期限。连接字串用3DES加密，不得出现明文字串。

D.修改密码时，要求输入原密码验证。

9.上传文件漏洞

10.程序架构安全性

a.尽可能采用CS架构

b.网站的前台没办法必须用WEB形式，但是后台管理可以做成CS的。

c.程序语言上采用.NET,JAVA   

11.配置文件安全性

很多时候，我们的数据库密码等放在配置文件里，而这个配置文件是明文的。很容易被人利用，解决方案是采用用密文存储，用3DES加密……密钥直接写在代码里，切不可放在明文文件中……

12.使用了HTTPS了吗

13.COOKIE的安全性

见“”提高COOKIE的安全性－－相关解决方案“”，主要采用3DES加密 cookie==3des(“值，时间,IP戳”);

14.电子商务表单价格修改的问题

使用MD5签名验证即可。

14.SESSION安全性

不可以以判定SESSION为空来判断权限，必须设一个明确的值 

15.进行服务端验证

不可以仅依赖客户端验证。