网站安全漏洞的产生分析、处理总结

一:网站程序存在的漏洞 1. 注入漏洞 2. 上传文件格式验证不完善 3. 参数可写入文件——构造一句话 4. mdb数据库改用ASP\ASA等名字作为数据库扩展名(添加防下载代码) 5. 后台显示数据库路径 6. 数据库可备份修改扩展 7. 文件管理部分传递参数过滤问题及外部提交 8. XSS漏洞骗取cookies得到后台权限 9. 任意文件下载漏洞 10. 远程包含漏洞 11. 使用未加密的cookies进行用户权限等级及权限验证 12. session被构造欺骗