WEB前端安全编码规范评审
2018-01-30 16:09
483 查看
1. 防范XSS漏洞
1.1 漏洞描述
XSS又叫CSS(Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意攻击用户的特殊目的。
1.2 安全风险
获取用户cookie、钓鱼、获取用户页面数据、蠕虫、挂马。
2. 防范SQL注入漏洞
2.1 漏洞描述
所谓SQL注入,就是通过将构造的SQL命令插入到Web表单或URL参数后面进行提交,最终达到欺骗服务器执行恶意的SQL命令的目的。
2.2 安全风险
数据库资料被窃取、修改或者删除,服务器被攻击者控制。
3. 防范CSRF漏洞
3.1 漏洞描述
CSRF是伪造客户端请求的一种攻击,CSRF的英文全称是CrossSite Request Forgery,字面上的意思是跨站点伪造请求。CSRF的定义是强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要的操作行为。
3.2 安全风险
伪造用户请求、修改用户参数、xss蠕虫。
4. 防范表单数据篡改漏洞
4.1 漏洞描述
很多开发工程师喜欢使用form表单中的hidden域传递参数,这些参数中不乏金额、账号等关键数据,而这些数据是可以在客户端修改之后,再提交服务器的。因此,导致了表单数据被篡改。
4.2 安全风险
这些被篡改的数据一旦在后台也没有验证的话,直接导致交易数据被篡改。
5. 防范HTTPS页面安全警告问题
5.1 问题描述
在使用https作为传输协议的页面,如果引入了http协议传输的元素,如:script、img、iframe、frame、frameset、link等,某些浏览器会弹出安全警告。
5.2 安全风险
在注重安全的网站,如果客户浏览器弹出非安全的警告,会影响用户对该网站安全性的信心。同时用户如果点击“否”,会导致页面功能显示不完全,影响用户使用。
6. 防范页面跳转漏洞
6.1 漏洞描述
有些功能需要通过一个链接直接跳转到另外的页面,这个页面有可能是站内的,也有可能是站外的,而跳转的页面地址直接在这个链接中传递,比如说,需要通过https://www.51.com/index.htm?goto=http://www.xxx.com这样一个链接跳转到商户网站www.xxx.com。但goto后面的跳转地址没有做限制,通过修改goto后面的参数,可以跳转到任意网站。
6.2 安全风险
攻击者通过恶意构造跳转的链接,可以向受害者发起钓鱼攻击。
7. 防范上传漏洞
7.1 漏洞描述
如果页面有上传功能,而后台对上传文件的类型控制不严格,会导致攻击者能够上传恶意文件到网站服务器。
7.2 安全风险
攻击者可以利用上传漏洞,上传恶意文件到服务器,并且远程执行,达到控制网站服务器的目的。
相关文章推荐
- 【前端安全】 web前端安全编码(模版篇)【转】
- web前端安全编码
- Web前端编码规范[转]
- Web前端编码规范
- web前端开发编码规范及性能优化
- web项目开发 之 前端规范 --- JavaScript编码规范
- HTML编码规范 - (WEB前端命名规范)
- 项目开发规范(编码规范、命名规范、安全规范、前端优化、源码提交规范、代码维护规范、产品发布规范)
- web前端安全编码(模版篇)
- web前端编码规范
- web前端安全编码(模版篇)
- HTML+CSS基础+web前端编码规范
- web项目开发 之 前端规范 --- HTML编码规范
- web前端安全编码(模版篇)
- Web前端开发规范文档(css/javascript)
- 前端开发规范之html编码规范
- Web 前端代码规范
- Web前端开发规范文档
- WEB前端开发规范文档(转)
- 前端编码规范之CSS(转)