WEB项目防范安全风险技术文档

安全风险介绍

    基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客们的强烈关注，接踵而至的就是Web安全威胁的凸显，黑客利用网站操作系统的漏洞和Web服务程序的SQL注入漏洞等得到Web服务器的控制权限，轻则篡改网页内容，重则窃取重要内部数据，更为严重的则是在网页中植入恶意代码，使得网站访问者受到侵害。

解决方案

1. 清理工程所部署的WEB应用服务器如tomcat,Microsoft IIS，BEA WebLogic下后台管理、帮助文档页面等，以tomcat为例，删除webapps目录除工程以外其它文件夹，若conf\Catalina\localhost下有除项目工程以外的其它映射文件一并删除。

2. 清理项目中无效链接、无效方法、无效接口等。

3. 删除工程下所有UI设计的html页面。

4. 增加系统过滤器验证登录，避免非法用户访问后台。

5. 增加登录参数验证，避免非法字符。

6. 避免系统访问首页jquery引用，如需引用请在网上下载最新版本

7. 避免系统首页用户登录名，密码参数名使用敏感字符，如username,user,password等。

8. 避免系统首页登录页使用隐藏参数，避免使用