网站建设常见的安全漏洞是什么？

随着互联网的发展，网络安全问题越来越受到重视。如果一家公司的网站存在安全问题，将会对公司品牌形象和用户信任产生很大影响。如何保护网站的安全？我们能做的是在问题出现之前预防它。今天的沙漠风在网站建设中共享一些常见的安全漏洞。
1，明文传输
问题描述：系统用户的密码保护不足，攻击者可以利用攻击工具从网络上窃取合法的用户密码数据。
修改建议：传输的密码必须加密。
注意：所有密码都需要加密。为了复杂的加密。不要使用base64或md5。
2，sql注入
问题描述：攻击者利用sql注入漏洞，可以获取数据库中的各种信息，如：管理后台的密码，从而提取数据库内容（离开数据库）。
修改建议：过滤并检查输入参数。黑色和白色的名单。
注意：系统中的所有参数必须通过筛选和验证来覆盖。
3，交叉站脚本攻击
问题描述：没有输入信息的验证。攻击者可以使用恶意方法将恶意指令代码注入到网页中。这段代码通常是JavaScript，但它实际上可以包含Java，VBScript，ActiveX，Flash或纯HTML。攻击成功后，攻击者可以获得更高的权限。
修改建议：过滤并检查用户输入。输出是HTML实体编码。
注意：过滤，检查，HTML实体编码。覆盖所有参数。
4，文件上传漏洞
问题描述：上传文件没有限制。它可能被上传可执行文件或脚本文件。这进一步导致了服务器的崩溃。
修改建议：严格验证上传文件，防止上传asp，aspx，asa，php，jsp等危险脚本。鼓励同事包含标题验证以防止用户上传非法文件。
5，泄露敏感信息
问题描述：系统公开内部信息，例如：网站的绝对路径，网页源代码，SQL语句和案例版本，程序例外和其他信息。
修改建议：过滤用户输入的异常字符。阻止一些错误回声，例如自定义404,403,500等。
6，命令执行漏洞
问题描述：脚本程序调用system，exec，shell_exec等作为php。
修改建议：应用修补程序并严格限制需要在系统中执行的命令。
7，CSRF（跨站请求伪造）
问题描述：使用已经登录到用户的攻击，并在不知情的情况下执行操作。
修改建议：添加令牌验证。时间戳或此图片验证码。
8，SSRF漏洞
问题描述：服务器请求伪造。
修改建议：应用修补程序或卸载无用的软件包
9，默认密码，弱密码
问题描述：由于默认密码，弱密码很容易猜到。
修改建议：加强密码强度不适用弱密码
注意：不要使用通用字来输入密码。例如：root123456，admin1234，qwer1234，pssw0rd等。
当然，这些并不都是可能的漏洞。 公司网站在操作过程中必须经常进行测试和维护。 最好有专门负责人定期检查和维护公司网站，以确保网站的安全。