如何检测网站漏洞,web漏洞扫描工具盘点( 二 )


4.将单步流程改为多步流程 , 并在多步流程中引入验证码 。
每一步都会生成一个验证码 , 作为隐藏的表单元素嵌入到中间页面中 。下一步 , 将验证码提交给服务器 , 服务器检查验证码是否匹配 。这就给攻击者增加了麻烦 , 攻击者要在多步流程中得到上一步生成的验证码才能发起下一步请求 , 这几乎是不可能的 。
5.仅在允许匿名访问的情况下使用动态javascript 。
6.引入用户交互 , 一个简单的读图就可以屏蔽几乎所有意想不到的特权操作 。
3 。目录遍历漏洞:
1.关闭Web容器(如IIS/Apache等)的目录浏览功能 。) , 比如关闭IIS中的目录浏览功能:勾选IIS的网站属性中的“目录浏览”选项;
2.在防止遍历路径漏洞的方法中 , 最有效的方法是控制权限和小心处理传递给文件系统API的参数路径 。
3.数据净化:对网站用户提交的文件名进行硬编码或统一编码 , 将文件后缀列入白名单 , 拒绝恶意符号或空字节 。
4 。后台地址泄漏:
1.配置后台登录地址的访问权限 , 比如只允许某个IP或IP段的用户访问;
2.隐藏后台登录地址 , 更改不易被猜到的路径 。
【如何检测网站漏洞,web漏洞扫描工具盘点】3.将网站系统后台与网站首页分离 , 后台系统部署在内网 。


推荐阅读