漏洞网页源代码

1信息系统常见漏洞类型及与修复措施一、弱口令漏洞1.
漏洞详情.
弱口令漏洞通常指信息系统管理员或使用人员设置的系统登录密码过于简单,包括简易口令、默认口令、通用口令、长期不变口令等,容易被别人猜测到或被破解工具破解的密码,如"123456"、"AAAAAAAA"等,该类密码均属于弱口令.

2.
修复措施(1)不使用空密码或系统缺省的密码.
(2)密码长度不小于8个字符.
(3)密码不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.
tzf.
).
(4)密码应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符.
每类字符至少包含一个.
如果某类字符只包含一个,那么该字符不应为首字符或尾字符.
(5)密码中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词.
(6)至少90天内更换一次密码,防止未被发现的入侵者继续使用该密码.
二、文件上传漏洞1.
漏洞详情.
文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过Web访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器.
2.
修复措施需严格限制和校验上传的文件,禁止上传恶意代码的文件.
同时限制相关目录的执行权限,防范webshell攻击.
三、数据库SQL注入漏洞1.
漏洞详情.
数据库SQL注入漏洞,又称SQL注入攻击(SQLInjection),被广泛用于非法获取信息系统控制权,是发生在应用程序的数据库层上的安全漏洞.
在设计程序时,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害.

2.
修复措施(1)所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中.
当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击.

(2)对进入数据库的特殊字符('"&*;等)进行转义处理,或编码转换.
(3)确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型.
(4)数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行.
(5)网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过.
(6)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害.
(7)避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断.
(8)在网站发布之前建议使用一些专业的SQL注入检测工具进行检测,及时修补这些SQL注入漏洞.
四、敏感信息泄露漏洞1.
漏洞详情.
敏感信息泄露漏洞是指因业务需求,网页内可能提供文件下载和查看的功能,如果对用户查看或者下载的文件不做限制,就可以查看或者下载任意的文件,就能可能造成源代码、敏感文件泄露.