一、弱口令
產生原因
與個人習慣和安全意識相關����,為了避免忘記密碼,使用一個非常容易記住 的密碼�,或者是直接采用系統(tǒng)的默認密碼等。
危害
通過弱口令����,攻擊者可以進入后臺修改資料,進入金融系統(tǒng)盜取錢財��,進入OA系統(tǒng)可以獲取企業(yè)內部資料�����,進入監(jiān)控系統(tǒng)可以進行實時監(jiān)控等等�。
防御
設置密碼通常遵循以下原則:
(1)不使用空口令或系統(tǒng)缺省的口令,為典型的弱口令���;
(2)口令長度不小于8 個字符�����;
(3)口令不應該為連續(xù)的某個字符(例如:AAAAAAAA)或重復某些字符的組合(例如:tzf.tzf.)��。
(4)口令應該為以下四類字符的組合:大寫字母(A-Z)�、小寫字母(a-z)��、數(shù)字(0-9)和特殊字符��。每類字符至少包含一個�。如果某類字符只 包含一個,那么該字符不應為首字符或尾字符�。
(5)口令中不應包含特殊內容:如本人、父母�、子女和配偶的姓名和出生日期、紀念日期�、登錄名、E-mail 地址等等與本人有關 的信息��,以及字典中的單詞。
(6)口令不應該為用數(shù)字或符號代替某些字母的單詞�。
(7)口令應該易記且可以快速輸入,防止他人從你身后看到你的輸入�����。
(8)至少90 天內更換一次口令��,防止未被發(fā)現(xiàn)的入侵者繼續(xù)使用該口令��。
二����、XSS(跨站腳本攻擊)
原理
**XSS(Cross Site Scripting):**跨站腳本攻擊,為了不和層疊樣式表(Cascading Style Sheets)的縮寫CSS混合�,所以改名為XSS
**XSS原理:**攻擊者在網(wǎng)頁中嵌入客戶端腳本(通常是JavaScript的惡意腳本),當用戶使用瀏覽器加載被嵌入惡意代碼的網(wǎng)頁時�����,惡意腳本代碼就會在用戶的瀏覽器執(zhí)行��,造成跨站腳本的攻擊
危害
盜取Cookie
網(wǎng)絡釣魚
植馬挖礦
刷流量
劫持后臺
篡改頁面
內網(wǎng)掃描
制造蠕蟲等
防御
三、CSRF(跨站請求偽造 )
原理
CSRF(Cross-Site Request Forgery)���,中文名稱:跨站請求偽造 原理:攻擊者利用目標用戶的身份��,執(zhí)行某些非法的操作 跨站點的請求:請求的來源可以是非本站 請求是偽造的:請求的發(fā)出不是用戶的本意�。
危害
篡改目標站點上的用戶數(shù)據(jù)
盜取用戶隱私數(shù)據(jù)
作為其他攻擊的輔助攻擊手法
傳播 CSRF 蠕蟲
防御
四���、SQL注入
產生原因
當Web應用向后臺數(shù)據(jù)庫傳遞SQL語句進行數(shù)據(jù)庫操作時。如果對用戶輸入的參數(shù)沒有經(jīng)過嚴格的過濾處理�����,那么攻擊者就可以構造特殊的SQL語句�����,直接輸入數(shù)據(jù)庫引擎執(zhí)行,獲取或 修改數(shù)據(jù)庫中的數(shù)據(jù)����。
本質
把用戶輸入的數(shù)據(jù)當做代碼來執(zhí)行,違背了 “數(shù)據(jù)與代碼分離”的原則����。
SQL注入的兩個關鍵點:
1、用戶能控制輸入的內容�����;
2�、Web應用把用戶輸入的內容帶入到數(shù)據(jù)庫中執(zhí)行;
危害
防御
(1)采用sql語句預編譯和綁定變量 #{name}
其原因就是:采用了PrepareStatement���,就會將SQL語句:“select id,name from user where id=?”預先編譯好�,也就是SQL引擎會預先進行語法分析�����,產生語法樹���,生成執(zhí)行計劃���,也就是說���,后面你輸入的參數(shù)����,無論你輸入的是什么,都不會影響該SQL語句的語法結構了�����。因為語法分析已經(jīng)完成了����,而語法分析主要是分析SQL命令,比如:select���、from�����、where����、and、or�、order by等等。
所以即使你后面輸入了這些SQL命令�,也不會被當成SQL命令來執(zhí)行了,因為這些SQL命令的執(zhí)行���,必須先通過語法分析�,生成執(zhí)行計劃�����,既然語法分析已經(jīng)完成����,已經(jīng)預編譯過了,那么后面輸入的參數(shù)���,是絕對不可能作為SQL命令來執(zhí)行的����,只會被當成字符串字面值參數(shù)����。
(2)使用正則表達式過濾傳入的參數(shù)
(3)過濾字符串����,如insert�、select、update�、and、or等
五���、文件上傳
原理
在文件上傳的功能處,若服務端未對上傳的文件進行嚴格驗證和過濾���,導致攻擊者上傳惡意的腳本文件時���,就有可能獲取執(zhí)行服務端命令的能力,稱為文件上傳漏洞�����。
成因
服務器的錯誤配置
開源編碼器漏洞
本地上傳上限制不嚴格被繞過
服務器端過濾不嚴格被繞過
危害
繞過方式
防御
白名單判斷文件后綴是否合法
文件上傳的目錄設置為不可執(zhí)行
判斷文件類型
使用隨機數(shù)改寫文件名和文件路徑
單獨設置文件服務器的域名
使用安全設備防御
該文章在 2024/6/28 12:37:42 編輯過
400 186 1886
