[點晴永久免費OA]網絡安全常見五大漏洞(原理、危害、防御)總結以及常見漏洞類型
當前位置:點晴教程→點晴OA辦公管理信息系統
→『 經驗分享&問題答疑 』
一、弱口令 產生原因 與個人習慣和安全意識相關,為了避免忘記密碼,使用一個非常容易記住 的密碼,或者是直接采用系統的默認密碼等。 危害 通過弱口令,攻擊者可以進入后臺修改資料,進入金融系統盜取錢財,進入OA系統可以獲取企業內部資料,進入監控系統可以進行實時監控等等。 防御 設置密碼通常遵循以下原則: (1)不使用空口令或系統缺省的口令,為典型的弱口令; (2)口令長度不小于8 個字符; (3)口令不應該為連續的某個字符(例如:AAAAAAAA)或重復某些字符的組合(例如:tzf.tzf.)。 (4)口令應該為以下四類字符的組合:大寫字母(A-Z)、小寫字母(a-z)、數字(0-9)和特殊字符。每類字符至少包含一個。如果某類字符只 包含一個,那么該字符不應為首字符或尾字符。 (5)口令中不應包含特殊內容:如本人、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail 地址等等與本人有關 的信息,以及字典中的單詞。 (6)口令不應該為用數字或符號代替某些字母的單詞。 (7)口令應該易記且可以快速輸入,防止他人從你身后看到你的輸入。 (8)至少90 天內更換一次口令,防止未被發現的入侵者繼續使用該口令。 二、XSS(跨站腳本攻擊) 原理 **XSS(Cross Site Scripting):**跨站腳本攻擊,為了不和層疊樣式表(Cascading Style Sheets)的縮寫CSS混合,所以改名為XSS **XSS原理:**攻擊者在網頁中嵌入客戶端腳本(通常是JavaScript的惡意腳本),當用戶使用瀏覽器加載被嵌入惡意代碼的網頁時,惡意腳本代碼就會在用戶的瀏覽器執行,造成跨站腳本的攻擊 危害
防御
三、CSRF(跨站請求偽造 ) 原理 CSRF(Cross-Site Request Forgery),中文名稱:跨站請求偽造 原理:攻擊者利用目標用戶的身份,執行某些非法的操作 跨站點的請求:請求的來源可以是非本站 請求是偽造的:請求的發出不是用戶的本意。 危害
防御
四、SQL注入 產生原因 當Web應用向后臺數據庫傳遞SQL語句進行數據庫操作時。如果對用戶輸入的參數沒有經過嚴格的過濾處理,那么攻擊者就可以構造特殊的SQL語句,直接輸入數據庫引擎執行,獲取或 修改數據庫中的數據。 本質 把用戶輸入的數據當做代碼來執行,違背了 “數據與代碼分離”的原則。 SQL注入的兩個關鍵點: 1、用戶能控制輸入的內容; 2、Web應用把用戶輸入的內容帶入到數據庫中執行; 危害
防御 (1)采用sql語句預編譯和綁定變量 #{name} 其原因就是:采用了PrepareStatement,就會將SQL語句:“select id,name from user where id=?”預先編譯好,也就是SQL引擎會預先進行語法分析,產生語法樹,生成執行計劃,也就是說,后面你輸入的參數,無論你輸入的是什么,都不會影響該SQL語句的語法結構了。因為語法分析已經完成了,而語法分析主要是分析SQL命令,比如:select、from、where、and、or、order by等等。 所以即使你后面輸入了這些SQL命令,也不會被當成SQL命令來執行了,因為這些SQL命令的執行,必須先通過語法分析,生成執行計劃,既然語法分析已經完成,已經預編譯過了,那么后面輸入的參數,是絕對不可能作為SQL命令來執行的,只會被當成字符串字面值參數。 (2)使用正則表達式過濾傳入的參數 (3)過濾字符串,如insert、select、update、and、or等 五、文件上傳 原理 在文件上傳的功能處,若服務端未對上傳的文件進行嚴格驗證和過濾,導致攻擊者上傳惡意的腳本文件時,就有可能獲取執行服務端命令的能力,稱為文件上傳漏洞。
成因
危害
繞過方式
防御
該文章在 2024/6/28 12:37:42 編輯過 |
關鍵字查詢
相關文章
正在查詢... 
|
400 186 1886
