胡言乱语

外包,CMM,Six Sigma,软件服务,软件开发,软件过程管理,软件质量,项目管理,企业管理

  博客园 :: 首页 :: 博问 :: 闪存 :: :: 联系 :: 订阅 订阅 :: 管理 ::

我在上一篇文章中提到如何评估Web程序的安全性.在Web程序中,以下安全问题需要注意:

1. 上朔式获取管理权限
2. SQL注入式攻击
3. 跨站点脚本执行
4. 密码规则简单
5. 用户名和密码不区分大小写
6. session永不过期或过期时间太长
7. 安全页面的Cache没有没有被禁止
8. Web页面中包括一些可能泄露系统信息的HTML注释
9. 没给用户提供"退出"功能
10. 错误信息暴露系统信息, 没有处理错误信息,没提供定制的错误页面.
11. 密码自动完成功能没被禁止
12. 可以从服务器上得到任何文件, 没过滤文件上传下载范围
13. 没有锁帐号功能,用户可以多次尝试不同的用户名密码登陆

posted on 2005-09-02 18:09  台风  阅读(572)  评论(0编辑  收藏  举报