2017年web开发漏洞前十名，我们要如何防止并改进？

安全公司 Portswigger公布2017年十大Web黑客技术榜单，其中也有2016年的，既然我们知道其开发漏洞，那么我们如何更好改进让我们我们网站更加安全呢？

计算机黑客或网络攻击概念背景

安全公司十大Web黑客技术榜单：

1. 台湾 Web 安全研究者 Orange Tsai - A New Era of SSRF

2. Web 缓存欺骗攻击技术 – Web Cache Deception

3. 票据欺骗 – Ticket Trick

4. Friday the 13th: JSON Attacks

5. 云出血 - Cloudbleed

6. 高级 Flash 漏洞利用系列 - Advanced Flash Vulnerabilities

7. AWS S3 存储桶的访问控制分析 - A deep dive into AWS S3 access controls

8. 利用 HTTP 请求编码绕过 WAF – Request Encoding to bypass web application firewall

9. 浏览器安全白皮书 – Cure53 – Browser Security Whitepaper

10. 利用 PHP7 的 OPcache 执行 PHP 代码 – Binary Webshell Through OPcache in PHP 7

人手触摸 https 地址

经验总结：

第一：（SSRF）服务器端请求伪造：一般是外网请求，所以在请求之前要做好判断并只设置白名单。

第二：防止敏感数据暴露，在可公开访问的静态文件不要出现缓存安全文件，从根本上杜绝该问题，在访问错误尽可能返回404或者302，而非文件内容。

第三，严格验证每条数据验证，通过绑定手机号码降低垃圾账号。

​第四，ajax跨域请求攻击，在设置跨域请求时，也可以设置白名单。

网络安全、 数据保护、 信息安全。互联网技术的概念

第五，在没有必要使用Flash的地方可以使用HTML5代替防止,Flash漏洞。

第六，升级网站为https，http在信息安全传输方面存在很多漏洞，使用https这更加安全，网站请求速度也会加快。