平時(shí)工作，多數(shù)是開發(fā)Web項(xiàng)目，由于一般是開發(fā)內(nèi)部使用的業(yè)務(wù)系統(tǒng)，所以對(duì)于安全性一般不是看的很重，基本上由于是內(nèi)網(wǎng)系統(tǒng)，一般也很少會(huì)受到攻擊，但有時(shí)候一些系統(tǒng)平臺(tái)，需要外網(wǎng)也要使用，這種情況下，各方面的安全性就要求比較高了，那么前端開發(fā)安全問(wèn)題有什么？

網(wǎng)絡(luò)安全小知識(shí)：

1、測(cè)試的步驟及內(nèi)容

這些安全性測(cè)試，據(jù)了解一般是先收集數(shù)據(jù)，然后進(jìn)行相關(guān)的滲透測(cè)試工作，獲取到網(wǎng)站或者系統(tǒng)的一些敏感數(shù)據(jù)，從而可能達(dá)到控制或者破壞系統(tǒng)的目的。

2、SQL注入漏洞的出現(xiàn)和修復(fù)

SQL注入定義：

SQL注入攻擊是黑客對(duì)數(shù)據(jù)庫(kù)進(jìn)行攻擊的常用手段之一。隨著B/S模式應(yīng)用開發(fā)的發(fā)展，使用這種模式編寫應(yīng)用程序的程序員也越來(lái)越多。但是由于程序員的水平及經(jīng)驗(yàn)也參差不齊，相當(dāng)大一部分程序員在編寫代碼的時(shí)候，沒(méi)有對(duì)用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷，使應(yīng)用程序存在安全隱患。用戶可以提交一段數(shù)據(jù)庫(kù)查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些他想得知的數(shù)據(jù)，這就是所謂的SQL Injection，即SQL注入。

SQL注入有時(shí)候，在地址參數(shù)輸入，或者控件輸入都有可能進(jìn)行。如在鏈接后加入’號(hào)，頁(yè)面報(bào)錯(cuò)，并暴露出網(wǎng)站的物理路徑在很多時(shí)候，很常見，當(dāng)然如果關(guān)閉了Web.Config的CustomErrors的時(shí)候，可能就不會(huì)看到。

3、跨站腳本攻擊漏洞出現(xiàn)和修復(fù)

跨站腳本攻擊，又稱XSS代碼攻擊，也是一種常見的腳本注入攻擊。例如在下面的界面上，很多輸入框是可以隨意輸入內(nèi)容的，特別是一些文本編輯框里面，可以輸入例如這樣的內(nèi)容，如果在一些首頁(yè)出現(xiàn)很多這樣內(nèi)容，而又不經(jīng)過(guò)處理，那么頁(yè)面就不斷的彈框，更有甚者，在里面執(zhí)行一個(gè)無(wú)限循環(huán)的腳本函數(shù)，直到頁(yè)面耗盡資源為止，類似這樣的攻擊都是很常見的，所以我們?nèi)绻窃谕饩W(wǎng)或者很有危險(xiǎn)的網(wǎng)絡(luò)上發(fā)布程序，一般都需要對(duì)這些問(wèn)題進(jìn)行修復(fù)。

4、IIS短文件/文件夾漏洞出現(xiàn)和修復(fù)

[建議措施]

1)禁止url中使用“~”或它的Unicode編碼。

2)關(guān)閉windows的8.3格式功能。

5、系統(tǒng)敏感信息泄露出現(xiàn)和修復(fù)

如果頁(yè)面繼承一般的page，而沒(méi)有進(jìn)行Session判斷，那么可能會(huì)被攻擊者獲取到頁(yè)面地址，進(jìn)而獲取到例如用戶名等重要數(shù)據(jù)的。

佰佰安全網(wǎng)提醒您：網(wǎng)絡(luò)安全防范措施與應(yīng)用措施一定要積極實(shí)行，只有這樣才能保障網(wǎng)絡(luò)安全，另外在日常時(shí)多學(xué)習(xí)一些網(wǎng)絡(luò)安全常識(shí)和網(wǎng)絡(luò)安全技術(shù)知識(shí)也非常重要。

責(zé)任編輯:張小付