“上传漏洞”以及“登录页暴力破解”的防御

上传漏洞、登陆页暴力破解的危害性比较大,因为一旦成功,便等于获得了写文件或更改网站配置的权限,从而方便进一步提权,

下面是针对这两种威胁的防范手段:

上传漏洞
==============================================================================================================
*	“文件上传漏洞”,包括但不限于
	-	http请求头MIME欺骗、
	-	文件名或目录名%00截断上传、
	-	双文件上传、
	-	浏览器路径解析漏洞、
	-	图片一句话木马+文件包含、
	-	未授权直接自构表单上传

*	文件上传防御方案:
	-	1.客户端检测,使用JS对上传图片检测,包括文件大小、文件类型等
	-	2.服务端检测,对文件大小、文件路径、文件扩展名、文件类型、文件内容检测,对文件重命名
	-	3.其他限制,服务器端上传目录设置不可执行权限








防止登录页暴力破解
===============================================================================================================
*	验证码或令牌验证(在检查用户名、密码之前优先检查验证码,服务端限制验证码不为空、每验证一次就清空session的验证码信息)。
*	登录失败次数限制。一定时间内登录失败多少次就封号,就算接下来猜对了密码也提示用户名或密码失败。
*	ip或代理黑名单。
*	提示信息,无论用户名正确与否,总是提示用户名或密码错误。

  

转载于:https://www.cnblogs.com/6ruce/p/5845242.html

你可能感兴趣的:(“上传漏洞”以及“登录页暴力破解”的防御)