微信小程序 安全指引·后臺(tái)
微信小程序安全指引-后臺(tái)
1. 注入漏洞
注入漏洞通常是由于用戶繞過(guò)后臺(tái)代碼限制,直接在數(shù)據(jù)庫(kù)或shell 中執(zhí)行自定義代碼導(dǎo)致的。SQL注入和命令注入都是比較常見(jiàn)的注入漏洞。
1.1 SQL注入
SQL注入是指Web程序代碼中對(duì)于用戶提交的參數(shù)未做有效過(guò)濾就直接拼接到SQL語(yǔ)句中執(zhí)行,導(dǎo)致參數(shù)中的特殊字符打破了SQL語(yǔ)句原有邏輯,黑客可以利用該漏洞執(zhí)行任意SQL語(yǔ)句。
開(kāi)發(fā)建議:
- 使用數(shù)據(jù)庫(kù)提供的參數(shù)化查詢來(lái)進(jìn)行數(shù)據(jù)庫(kù)操作,不允許直接通過(guò)拼接字符串的方式來(lái)合成SQL語(yǔ)句。
- 如果必須要通過(guò)拼接的方式來(lái)合成SQL語(yǔ)句,那么拼接的變量必須要經(jīng)過(guò)處理:對(duì)于整數(shù)類型的變量,需要判斷其是否為整數(shù)類型;對(duì)于字符串類型的變量,需要對(duì)單引號(hào)、雙引號(hào)等進(jìn)行轉(zhuǎn)義處理。
- 避免Web應(yīng)用顯示SQL報(bào)錯(cuò)信息。
- 保證Web應(yīng)用的每一數(shù)據(jù)層的編碼統(tǒng)一。
1.2 命令注入
命令注入漏洞是指Web應(yīng)用未對(duì)用戶可控參數(shù)進(jìn)行有效過(guò)濾,攻擊者可以構(gòu)造惡意參數(shù)拼接到命令上來(lái)執(zhí)行任意命令。
開(kāi)發(fā)建議:
- 對(duì)用戶輸入的數(shù)據(jù)(如 ;、|、&等)進(jìn)行過(guò)濾或轉(zhuǎn)義。
2. 弱口令
弱口令指管理后臺(tái)的用戶名密碼設(shè)置得較為簡(jiǎn)單或者使用默認(rèn)帳號(hào)。攻擊者可以通過(guò)登錄這些帳號(hào)修改后臺(tái)數(shù)據(jù)或進(jìn)行下一步的入侵操作。
開(kāi)發(fā)建議:
- 后臺(tái)服務(wù)禁用默認(rèn)帳號(hào),修改后臺(tái)弱口令。
- 敏感服務(wù)增加二次驗(yàn)證機(jī)制,如短信驗(yàn)證碼、郵箱驗(yàn)證碼等。
3. 文件上傳漏洞
文件上傳漏洞是指Web應(yīng)用允許用戶上傳指定文件,但未對(duì)文件類型、格式等做合法性校驗(yàn),導(dǎo)致可以上傳非預(yù)期格式的文件。
開(kāi)發(fā)建議:
- 正確解析上傳文件的文件類型,通過(guò)白名單的方式限制可上傳的文件類型。
4. 文件下載
文件下載漏洞是指Web應(yīng)用允許用戶通過(guò)指定路徑和文件名的方式來(lái)下載對(duì)應(yīng)的文件,但未正確限制可下載文件所在的目錄范圍,導(dǎo)致預(yù)期范圍外的文件被下載泄露。
開(kāi)發(fā)建議:
- 正確限制可下載文件所在的目錄范圍。
- 通過(guò)指定文件id的方式來(lái)查找下載對(duì)應(yīng)的文件。
5. 目錄遍歷
目錄遍歷是指由后臺(tái)服務(wù)對(duì)用戶輸入驗(yàn)證不足或配置不嚴(yán)謹(jǐn)導(dǎo)致的服務(wù)器目錄內(nèi)容泄漏。外部可能通過(guò)目錄遍歷獲取系統(tǒng)文件、后臺(tái)代碼等敏感文件。
開(kāi)發(fā)
<本文由himall原創(chuàng),商業(yè)轉(zhuǎn)載請(qǐng)聯(lián)系作者獲得授權(quán),非商業(yè)轉(zhuǎn)載請(qǐng)標(biāo)明:himall原創(chuàng)>
滿足不同行業(yè)發(fā)展電商的需求,HiMall更有針對(duì)性的提供不同行業(yè)內(nèi)的電商解決方案
-
跨境電商解決方案
支持直郵/保稅模式
對(duì)接海關(guān)/保稅倉(cāng)
支持多國(guó)國(guó)際語(yǔ)言
對(duì)接Paypal國(guó)際支付
幫助跨境外貿(mào)企業(yè)搭建跨境進(jìn)口/出口電商平臺(tái),搶占國(guó)際電商市場(chǎng),針對(duì)企業(yè)需求定制個(gè)性化跨境電商解決方案 -
分賬解決方案
迎合金融監(jiān)管要求
規(guī)避“二清”結(jié)算
節(jié)約平臺(tái)財(cái)務(wù)成本
降低平臺(tái)招商成本
在合法、合規(guī)的前提下,為電商平臺(tái)提供資金收付、賬戶管理、資金合規(guī)等一體化整體解決方案 -
B2B批發(fā)解決方案
多級(jí)階梯批發(fā)價(jià)
布局全渠道批發(fā)入口
專屬批發(fā)訂貨市場(chǎng)
銀聯(lián)B2B大額支付
為企業(yè)快速搭建綜合性B2B批發(fā)電商平臺(tái),整合線下批發(fā)資源,拓展線上批發(fā)渠道,實(shí)現(xiàn)批發(fā)業(yè)務(wù)24小時(shí)在線經(jīng)營(yíng)
-
MRO工業(yè)品采購(gòu)平臺(tái)系統(tǒng)|MRO工業(yè)品采購(gòu)平臺(tái)系統(tǒng)有哪些功能
最新消息:MRO工業(yè)品采購(gòu)平臺(tái)系統(tǒng) 是一款集產(chǎn)、研、銷于一體的綜合性解決方案,專為解決工業(yè)品企業(yè)的采購(gòu)難題而設(shè)計(jì)。該系統(tǒng)通過(guò)...詳情
-
電子元器件采購(gòu)商城系統(tǒng)|電子元器件采購(gòu)商城系統(tǒng)有哪些功能
最新消息:電子元器件采購(gòu)商城系統(tǒng) 是專為滿足電子元器件行業(yè)復(fù)雜業(yè)務(wù)流程需求而設(shè)計(jì)的綜合性平臺(tái)。它不僅提供了全面的技術(shù)支持...詳情
【本站聲明】
1、本網(wǎng)站發(fā)布的該篇文章,目的在于分享電商知識(shí)及傳遞、交流相關(guān)電商信息,以便您學(xué)習(xí)或了解電商知識(shí),請(qǐng)您不要用于其他用途;
2、該篇文章中所涉及的商標(biāo)、標(biāo)識(shí)的商品/服務(wù)并非來(lái)源于本網(wǎng)站,更非本網(wǎng)站提供,與本網(wǎng)站無(wú)關(guān),系他人的商品或服務(wù),本網(wǎng)站對(duì)于該類商標(biāo)、標(biāo)識(shí)不擁有任何權(quán)利;
3、本網(wǎng)站不對(duì)該篇文章中所涉及的商標(biāo)、標(biāo)識(shí)的商品/服務(wù)作任何明示或暗示的保證或擔(dān)保;
4、本網(wǎng)站不對(duì)文章中所涉及的內(nèi)容真實(shí)性、準(zhǔn)確性、可靠性負(fù)責(zé),僅系客觀性描述,如您需要了解該類商品/服務(wù)詳細(xì)的資訊,請(qǐng)您直接與該類商品/服務(wù)的提供者聯(lián)系。