从广州网站建设开始，就要做好这些安全措施。如果你的网站做到了以下几点，那就相对安全了。如题，网站常见漏洞有20种，防范方法。

　　1、越权

　　问题描述：不同权限的账户之间存在未授权访问。

　　修改建议：加强用户权限验证。

　　注意：

　　经常通过不同权限的用户之间的链接访问，cookie，修改id等。

　　2.明文传输

　　问题描述：系统用户密码保护不足。攻击者可以使用攻击工具从网络中窃取合法的用户密码数据。

　　修改建议：传输的密码必须加密。

　　注意：所有密码都应该加密。需要复杂的加密。不要使用base64或md5。

　　3.sql注入

　　问题描述：攻击者可以通过利用sql注入漏洞获取数据库中的各种信息，如管理后台的密码，从而摆脱数据库中的内容(去数据库)。

　　修改建议：过滤并验证输入参数。采用黑白名单。

　　注意：过滤和验证应覆盖系统中的所有参数。

　　4.跨站点脚本攻击

　　问题描述：输入信息未经验证，攻击者可以通过巧妙的方法向网页注入恶意的指令代码。这段代码通常是JavaScript，但其实也可以包括Java、VBScript、ActiveX、Flash或者普通HTML。攻击成功后，攻击者可以获得更高的权限。

　　修改建议：过滤并验证用户输入。HTML实体编码的输出。

　　注意：过滤、验证、HTML实体编码。覆盖所有参数。

　　5.文件上传漏洞

　　问题描述：文件上传没有限制，可以和可执行文件或者脚本文件一起上传。进一步导致服务器的崩溃。

　　修改建议：严格验证上传文件，防止上传asp、aspx、asa、php、jsp等危险脚本。同事要加入表头验证，防止用户上传非法文件。

　　6.背景地址泄露

　　问题描述：后台地址太简单，为攻击者攻击后台提供了方便。

　　修改建议：修改后台地址链接，比较复杂。

　　7.敏感信息被泄露

　　问题描述：系统暴露内部信息，如网站绝对路径、网页源代码、SQL语句、中间件版本、程序异常等。

　　修改建议：过滤用户输入的异常字符。屏蔽一些错误回声，如自定义404、403、500等。

　　8.命令执行漏洞

　　问题描述：脚本程序调用php的system，exec，shell_exec等。

　　修改建议：打补丁要严格限制系统中要执行的命令。

　　9.目录遍历漏洞

　　问题描述：公开目录信息，如开发语言和站点结构修改建议：修改相关配置。

　　10.会话重放攻击

　　问题描述：数据包重复提交。

　　修改建议：添加令牌认证。此图片的时间戳或验证码。

　　11.CSRF(跨站点请求伪造)

　　问题描述：利用登录用户在不知情的情况下执行某些操作的攻击。

　　修改建议：添加令牌认证。此图片的时间戳或验证码。

　　12.任意文件包含和任意文件下载

　　问题描述：任何文件包含，系统没有合理检查传入文件名，从而操作意外文件。下载任何文件。系统提供下载功能，但不限制下载文件名。

　　修改建议：限制用户提交的文件名。防止恶意文件读取和下载。

　　13.设计缺陷/逻辑错误

　　问题描述：程序通过逻辑实现丰富的功能。很多时候逻辑功能有缺陷。比如程序员的安全意识，考虑不周等等。

　　修改建议：加强程序设计和逻辑判断。

　　14.XML实体注入

　　问题描述：当允许引用外部实体时，恶意内容会导致读取任意文件、执行系统命令、检测intranet端口等等。

　　修改建议：使用开发语言提供的禁用外部实体的方法过滤用户提交的XML数据。

　　15.检测有风险的无关服务和端口

　　问题描述：检测有风险的无关服务和端口，为攻击者提供便利。

　　修改建议：关闭无用的服务和端口。前期只会打开80和数据库端口，使用时会打开20或21个端口。

　　16.登录功能验证码的漏洞

　　问题描述：一个有效的数据包被反复恶意重复发送到服务器。服务器没有有效限制用户提交的数据包。

　　修改建议：服务器后端刷新验证码，数据包一提交就刷新数据号。

　　17.不安全的饼干

　　问题描述：cookies包含用户名或密码等敏感信息。

　　修改建议：从cookies中删除用户名和密码。

　　18、SSL3.0

　　问题描述：SSL是一种为网络通信提供安全性和数据完整性的安全协议。SSl会爆一些漏洞。例如心脏渗血。

　　修改建议：升级OpenSSL版本

　　19.SSRF脆弱性

　　问题描述：服务器请求是伪造的。

　　修改建议：修补或卸载无用的软件包

　　20.默认密码和弱密码

　　问题描述：因为默认密码和弱密码很容易猜到。

　　修改建议：加强密码强度不适用于弱密码

　　注意：不要在密码中使用常用词。例如root123456，admin1234，qwer1234，p@ssw0rd等。