常见漏洞防御建议

Xss防御建议：

1. 后端对输入内容的特定字符进行编码，例如表示 html标记的 等符号。

2. 对重要的 cookie设置 httpOnly, 防止客户端通过document.cookie读取 cookie，此 HTTP头由服务端设置

3. 将不可信的值输出 URL参数之前，进行 URLEncode操作

核心思路：

不信任任何用户输入的数据

都要进行数据的格式审核/校验

 

CSRF防御建议：

表单增加csrf token

 

SQL注入：

1.禁止SQL拼接

因为 后端将 前端传递过来的数据，直接和 SQL模板进行了组装拼接，导致产生一条新SQL

2.必须使用 参数化

python、java、php都支持

 

命令/代码 注入

1. 对参数做更严格的校验

 

文件下载漏洞

1. 后台校验 文件下载路径

 

文件上传漏洞

1.绕过前端类型校验、验证后端是否有校验

类型，大小

 

越权访问漏洞

1. 通过链接可以删除其他用户的数据

 

路径遍历

要避免路径遍历，需要注意以下几点：

（1）程序对非受信的用户输入数据净化，对网站用户提交过来的文件名进行硬编码或者统一编码，过滤非法字符。

（2）对文件后缀进行白名单控制，对包含了恶意的符号或者空字节进行拒绝。

（3）合理配置 web 服务器的目录权限。

 

跳转漏洞

1. 提示用户

2. 对跳转的目标URL进行黑白名单过滤

 

SSRF漏洞

1.请做好目标地址的过滤。

2.黑白名单

 

短信/邮件炸弹/暴力破解

式向服务器频繁请求数据短信下发接口，达到攻击的效果。

修改建议

短信加条数限制；

同一手机号的单位时间请求次数不应大于设定值

短信加频率限制

同一手机号两次的请求时间间隔不应小于设定值

添加验证码

提高了难度

测试方法

对于短信炸弹的验证，可以化归为对发短信接口的压力测试（并行测试），则测试方法为压力测试短信接口