惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

TaoSecurity Blog
TaoSecurity Blog
L
LINUX DO - 最新话题
Help Net Security
Help Net Security
N
News | PayPal Newsroom
www.infosecurity-magazine.com
www.infosecurity-magazine.com
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
The Last Watchdog
The Last Watchdog
S
Security @ Cisco Blogs
W
WeLiveSecurity
C
CXSECURITY Database RSS Feed - CXSecurity.com
Webroot Blog
Webroot Blog
T
Troy Hunt's Blog
V
Vulnerabilities – Threatpost
Google Online Security Blog
Google Online Security Blog
N
News and Events Feed by Topic
T
Threat Research - Cisco Blogs
Security Archives - TechRepublic
Security Archives - TechRepublic
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
T
Tor Project blog
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
D
Darknet – Hacking Tools, Hacker News & Cyber Security
PCI Perspectives
PCI Perspectives
Google DeepMind News
Google DeepMind News
T
Tailwind CSS Blog
让小产品的独立变现更简单 - ezindie.com
让小产品的独立变现更简单 - ezindie.com
Apple Machine Learning Research
Apple Machine Learning Research
IT之家
IT之家
S
SegmentFault 最新的问题
J
Java Code Geeks
P
Privacy & Cybersecurity Law Blog
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
博客园 - 【当耐特】
博客园_首页
H
Hacker News: Front Page
T
Threatpost
Jina AI
Jina AI
博客园 - Franky
月光博客
月光博客
L
LINUX DO - 热门话题
The Cloudflare Blog
H
Heimdal Security Blog
博客园 - 司徒正美
酷 壳 – CoolShell
酷 壳 – CoolShell
Cloudbric
Cloudbric
雷峰网
雷峰网
Hugging Face - Blog
Hugging Face - Blog
S
Secure Thoughts
T
Tenable Blog
I
Intezer
OSCHINA 社区最新新闻
OSCHINA 社区最新新闻

博客园 - 台风

让员工学会学习 - 台风 - 博客园 我们需要个性突出的员工吗? 为什么不提供离线Blog管理工具呢? 收集积累员工的技能数据和项目经验数据很重要 规则表达式(笔记) - 台风 - 博客园 如何对Web Application进行安全性评估 项目管理中的组织结构 Migration项目总结 Auditor and Audit Stakeholder Anaylysis 项目的沟通管理 风险的应对策略 项目管理技能 维护项目阶段总结 Six sigma tools 持续过程改进 - 公司过程能力持续提高的保证 对PMR, PM and audit的一些想法 Variables Control Charts (计量值控制图) Attribute Control Charts(计数值控制图)
Web程序中要注意的安全问题 - 台风 - 博客园
台风 · 2005-09-02 · via 博客园 - 台风

我在上一篇文章中提到如何评估Web程序的安全性.在Web程序中,以下安全问题需要注意:

1. 上朔式获取管理权限
2. SQL注入式攻击
3. 跨站点脚本执行
4. 密码规则简单
5. 用户名和密码不区分大小写
6. session永不过期或过期时间太长
7. 安全页面的Cache没有没有被禁止
8. Web页面中包括一些可能泄露系统信息的HTML注释
9. 没给用户提供"退出"功能
10. 错误信息暴露系统信息, 没有处理错误信息,没提供定制的错误页面.
11. 密码自动完成功能没被禁止
12. 可以从服务器上得到任何文件, 没过滤文件上传下载范围
13. 没有锁帐号功能,用户可以多次尝试不同的用户名密码登陆

posted on 2005-09-02 18:09  台风  阅读(595)  评论(0)    收藏  举报