网页常见的渗透方法以及解决方法

方式一 ： 弱口令
弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123456”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。

加固建议： 1、使用手机验证码登录 ，2设置一个账户锁定次数，比如超过3次 输入错误 该账号自动锁住

方式二： 未授权访问
某些数据接口在没登陆的时候 可以直接访问 获取数据

加固建议： 1每个请求都判断是否有访问权限，如果没有 就重定向到其他页面。

方式三 ： 任意文件下载
尽量不用使用暴漏文件名称的方式 访问文件，这样会泄露文件地址，以及其他文件可能暴漏的风险

加固建议： 尽量用接口形式 ，流下载访问。 ， 或者传加密文件名等参数，通过接口调用

方式四 ： 任意文件上传
任意文件上传可能会导致，黑客会给服务器上传一些可执行文件等

加固建议： 对每个文件 进行严格校验，避免非法文件上传

 

方式五： Xss跨站脚本攻击 - 存储型
XSS的攻击方式就是想办法“教唆”用户的浏览器去执行一些这个网页中原本不存在的前端代码
Xss(映射型) 将脚本在放在url请求中, 将链接通过邮箱等手段 发送给目标用户， 只要点击就会触发xss攻击
Xss(储存型) 将脚本放在文本框保存到数据库中。 每当有人访问 就会触发xss

加固建议：禁止特殊字符， 转义等 ， 设置cookie 为 httpOnly

 

方式六：CSRF漏洞

CSRF（Cross-site request forgery）跨站请求伪造，攻击者盗用了你的身份，以你的名义发送恶意请求，对服务器来说这个请求是完全合法的，但是却完成了攻击者所期望的一个操作，比如以你的名义发送邮件、发消息，盗取你的账号，添加系统管理员，甚至于购买商品、虚拟货币转账等

加固建议： 为每个请求添加一个唯一编号来验证本次请求