web安全漏洞有很多種，不知你指的是哪一種？

常見的web安全漏洞有：

1、跨站指令碼攻擊（XSS）

修復方式：cookie值設定HttpOnly，輸入檢查和輸出檢查特殊字元。

2、跨站點請求偽造（CSRF）

修復方式：請求時附帶驗證資訊，如驗證碼或token。

修復方式：HTTP 響應頭X-FRAME-OPTIONS。

4、SQL注入

修復方式：將資料與程式碼分離，在"拼湊"發生的地方安全檢查。

5、DDOS攻擊

修復方式：限制請求頻率、User-Agent、驗證碼。

你先得掃描你的網站有什麼漏洞，找到漏洞才能修補！

mutillidae工具是一個免費，開源的Web應用程式，提供專門被允許的安全測試和入侵的Web應用程式。它是由Adrian “Irongeek” Crenshaw和Jeremy “webpwnized” Druin.開發的一款自由和開放原始碼的Web應用程式。其中包含了豐富的滲透測試專案，如SQL注入、跨站指令碼、clickjacking、本地檔案包含、遠端程式碼執行等.

這個需要看是哪方面的安全漏洞，需要針對性的去修復。前端的一些弱口令之類的就去前端網頁去修復，還是要具體問題具體分析。

怎麼做好網站漏洞安全測試呢？一方面可以邊開發邊進行網站漏洞測試，另一方面可以透過專業的第三方機構進行軟體滲透測試，比如卓碼軟體測評，對網站進行漏洞檢測。

發現漏洞

在進行漏洞修復之前肯定要確定漏洞是什麼？(如注入、XEE、跨站、資訊洩露、反序列化等OWASP top10常見漏洞或支付、驗證碼、密碼修改等邏輯漏洞)。可以透過專業的漏洞掃描工具或者專業的安全服務團隊發現漏洞，不同型別的漏洞修復方案不同。如注入、XEE、跨站、反序列化可以透過對輸入進行控制也可以透過IPS/IDS，邏輯漏洞則要對邏輯進行重新設計。

同樣的漏洞對於不同的情況造成的危害也不一樣，例如同樣是sql注入漏洞，一些公司資料庫中存放的是極為重要的敏感資料（如身份證、手機號、賬號、密碼等），另外一些公司可能只是存放一些無關緊要的資料（如一些新聞訊息），那麼可以根據實際情況選擇是否修復。

確定是什麼漏洞之後那麼就能找到相應的修復方案，如下舉例說明幾種漏洞的修復方案：

sql注入修復方案：

1.使用正則表示式過濾傳入的引數.

2.預編譯：執行階段只是把輸入串作為資料處理,而不再對sql語句進行解析,準備,因此也就避免了sql注入問題.

3.許可權控制：在建立一個SQL資料庫的使用者帳戶時，要遵循最低許可權法則。

4.IDS/IPS：從網路層來進行過濾請求，來緩解風險呢

支付邏輯漏洞修復方案：

多重校驗如下圖：

確定自己Web中漏洞有幾種修復方案，每種修復方案的成本及影響。

根據修復漏洞所需要的成本，不修復漏洞帶來的損失、對公司的業務影響、對公司的聲譽影響（如果修復成本100萬，損失10萬完全沒有必要修復），選擇相應的修復方案或者緩解措施。如重要資訊未加密漏洞，如果立即修復對業務影響比較大（如程式碼需要更改加入加密演算法、資料庫結構要重新設計、可能第三方對接業務程式碼也需要更改），可以使用HTTPS協議及其他緩解措施來增加攻擊的難度，後續慢慢更改 。總之要根據自身的實際情況進行調整。

SQL注入在伺服器端要對所有的輸入資料驗證有效性。在處理輸入之前，驗證所有客戶端提供的資料，包括所有的引數、URL和HTTP頭的內容。驗證輸入資料的型別、長度和合法的取值範圍。使用白名單驗證允許的輸入字元而不是黑名單。在危險字元輸入後進行轉義或編碼。明確所有輸入正確的字符集。不使用動態拼接的SQL語句，如果使用對特殊字元進行轉義。設定最小許可權執行程式DS命令注入不僅要在客戶端過濾，也要在伺服器端過濾。要用最小許可權去執行程式，不要給予程式多餘的許可權，最好只允許在特定的路徑下執行，可以透過使用明確執行命令。在程式執行出錯時，不要顯示與內部實現相關的細節。如果只允許執行有限的命令、使用白名單方式過濾。對於需要執行命令的請求，儘可能減小需要從外部輸入的資料。比如：傳引數的地方不要傳命令列。有下載檔案，給檔案分配一個ID號來訪問檔案，拒絕檔名訪問。如果需要用檔名，嚴格檢測檔案的合法性。可以來U就業諮詢呦。