前端网络安全

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

---

一、测试工具

使用burpsuite进行渗透测试。

二、常见漏洞

1.WEB漏洞

2.系统漏洞

---

3. 移动客户端漏洞

4. 设备漏洞

解决方案

登录：弱口令、暴力破解、用户枚举

1.使用随机验证码并且使用人机验证机制防暴力破解
2.对用户登录错误次数做限制，一般5次锁定30秒
3…最直接有效的办法是在网页上加入验证码并在服务端进行验证，杜绝暴力破解的可能。
4.完善密码策略，信息安全最佳实践的密码策略为8位（包括）以上字符，包含数字、大小写字母、特殊字符中的至少3种

sql注入：

1.过滤漏洞参数处的参数，参数如果为字符型则，replace(‘双引号’,’单引号’)，如果为数字型则，使用强制整型函数int(参数)。
2.使用预处理语句连接数据库，如Prepared Statements、mysqli
示例：

function AntiSqlValid(oField )
{
re= /select|update|delete|exec|count|'|"|=|;|>|<|%/i;
if ( re.test(oField.value) )
{
//alert(“请您不要在参数中输入特殊字符和SQL关键字！”); //注意中文乱码
oField.value = ";
oField.className=“errInfo”;
oField.focus();
return false;
}
txtName.Attributes.Add(“onblur”, “AntiSqlValid(this)”);//防止Sql脚本注入