web安全总结

最近被公司强迫本鸟研究安全，没办法，看了一个月的资料，mark总结下。

安全问题	解决方案	推荐工具
xss跨站脚本攻击	1.给关键cookie加上httponly属性，js将无法访问 2.对html标签、css标签、url地址等处用户输入定的关键字符 &，<,> ,",'等进行encode	1.httponly 2.owasp esapi
csrf跨站请求伪造	1.验证码 2.referer check，检查请求源是否合法 3.表单token机制，因随机token存在，攻击者无法构造完整url
clickjacking点击劫持	禁止跨域的iframe	http头：x-frame-options
注入攻击	1.sql使用预编译语句防止sql注入 2.禁用eval(),system()等执行命令函数防止代码注入 3.crlf注入（日志，http头），使用换行符做分隔符的应用处理
文件上传漏洞	1.文件上传目录设置为不可执行 2.判断文件类型使用白名单，结合mime type、后缀检查；图片文件可以使用压缩函数或resize函数 3.随机数改写文件名和路径
DDOS分布式拒绝服务	1.ip频率，雅虎专利 2.验证码 3.nginx配置
SSRF服务器端请求伪造	1,过滤用户获取的返回信息是否符合标准。 2, 统一错误信息，避免用户可以根据错误信息来判断远端服务器的端口状态 3,限制请求的端口为http常用的端口，比如，80,443,8080,8090。 4,黑名单内网ip。避免应用被用来获取获取内网数据，攻击内网。 5,禁用不需要的协议。仅仅允许http和https请求。可以防止类似于file:///,gopher://,ftp:// 等引起的问题
权限管理 水平越权：基于数据 垂直越权：基于角色	使用渗透测试工具burpsuite测试	渗透测试开源工具：burpsuite