LOGO OA教程 ERP教程 模切知识交流 PMS教程 CRM教程 开发文档 其他文档  
 
网站管理员

[点晴永久免费OA]网络安全常见五大漏洞(原理、危害、防御)总结以及常见漏洞类型

admin
2024年6月28日 12:37 本文热度 932

一、弱口令

产生原因

与个人习惯和安全意识相关,为了避免忘记密码,使用一个非常容易记住 的密码,或者是直接采用系统的默认密码等。

危害

通过弱口令,攻击者可以进入后台修改资料,进入金融系统盗取钱财,进入OA系统可以获取企业内部资料,进入监控系统可以进行实时监控等等。

防御

设置密码通常遵循以下原则:

(1)不使用空口令或系统缺省的口令,为典型的弱口令;

(2)口令长度不小于8 个字符;

(3)口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。

(4)口令应该为以下四类字符的组合:大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只 包含一个,那么该字符不应为首字符或尾字符。

(5)口令中不应包含特殊内容:如本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail 地址等等与本人有关 的信息,以及字典中的单词。

(6)口令不应该为用数字或符号代替某些字母的单词。

(7)口令应该易记且可以快速输入,防止他人从你身后看到你的输入。

(8)至少90 天内更换一次口令,防止未被发现的入侵者继续使用该口令。

二、XSS(跨站脚本攻击)

原理

**XSS(Cross Site Scripting):**跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets)的缩写CSS混合,所以改名为XSS

**XSS原理:**攻击者在网页中嵌入客户端脚本(通常是JavaScript的恶意脚本),当用户使用浏览器加载被嵌入恶意代码的网页时,恶意脚本代码就会在用户的浏览器执行,造成跨站脚本的攻击

危害

  • 盗取Cookie

  • 网络钓鱼

  • 植马挖矿

  • 刷流量

  • 劫持后台

  • 篡改页面

  • 内网扫描

  • 制造蠕虫等

防御

  • 对用户的输入进行合理验证

  • 对特殊字符(如 <、>、 ’ 、 ”等)

三、CSRF(跨站请求伪造 )

原理

CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造 原理:攻击者利用目标用户的身份,执行某些非法的操作 跨站点的请求:请求的来源可以是非本站 请求是伪造的:请求的发出不是用户的本意。

危害

  • 篡改目标站点上的用户数据

  • 盗取用户隐私数据

  • 作为其他攻击的辅助攻击手法

  • 传播 CSRF 蠕虫

防御

  • 检查HTTP Referer是否是同域

  • 限制Session Cookie的生命周期,减少被攻击的概率

  • 使用验证码

  • 使用一次性token

四、SQL注入

产生原因

当Web应用向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或 修改数据库中的数据。

本质

把用户输入的数据当做代码来执行,违背了 “数据与代码分离”的原则。

SQL注入的两个关键点:

1、用户能控制输入的内容;

2、Web应用把用户输入的内容带入到数据库中执行;

危害

  • 盗取网站的敏感信息

  • 绕过网站后台认证

  • 后台登陆语句:SELECT*FROMadminWHEREUsername='user’andPassword=‘pass’

  • 万能密码:‘or‘1’=‘1’#

  • 借助SQL注入漏洞提权获取系统权限

  • 读取文件信

防御

(1)采用sql语句预编译和绑定变量 #{name}

其原因就是:采用了PrepareStatement,就会将SQL语句:“select id,name from user where id=?”预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该SQL语句的语法结构了。因为语法分析已经完成了,而语法分析主要是分析SQL命令,比如:select、from、where、and、or、order by等等。

所以即使你后面输入了这些SQL命令,也不会被当成SQL命令来执行了,因为这些SQL命令的执行,必须先通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为SQL命令来执行的,只会被当成字符串字面值参数。

(2)使用正则表达式过滤传入的参数

(3)过滤字符串,如insert、select、update、and、or等

五、文件上传

原理

在文件上传的功能处,若服务端未对上传的文件进行严格验证和过滤,导致攻击者上传恶意的脚本文件时,就有可能获取执行服务端命令的能力,称为文件上传漏洞。

成因

  • 服务器的错误配置

  • 开源编码器漏洞

  • 本地上传上限制不严格被绕过

  • 服务器端过滤不严格被绕过

危害

  • 上传恶意文件

  • getshell

  • 控制服务器

绕过方式

防御

  • 白名单判断文件后缀是否合法

  • 文件上传的目录设置为不可执行

  • 判断文件类型

  • 使用随机数改写文件名和文件路径

  • 单独设置文件服务器的域名

  • 使用安全设备防御


该文章在 2024/6/28 12:37:42 编辑过
关键字查询
相关文章
正在查询...
点晴ERP是一款针对中小制造业的专业生产管理软件系统,系统成熟度和易用性得到了国内大量中小企业的青睐。
点晴PMS码头管理系统主要针对港口码头集装箱与散货日常运作、调度、堆场、车队、财务费用、相关报表等业务管理,结合码头的业务特点,围绕调度、堆场作业而开发的。集技术的先进性、管理的有效性于一体,是物流码头及其他港口类企业的高效ERP管理信息系统。
点晴WMS仓储管理系统提供了货物产品管理,销售管理,采购管理,仓储管理,仓库管理,保质期管理,货位管理,库位管理,生产管理,WMS管理系统,标签打印,条形码,二维码管理,批号管理软件。
点晴免费OA是一款软件和通用服务都免费,不限功能、不限时间、不限用户的免费OA协同办公管理系统。
Copyright 2010-2024 ClickSun All Rights Reserved