1信息系统常见漏洞类型及与修复措施一、弱口令漏洞1.
漏洞详情.
弱口令漏洞通常指信息系统管理员或使用人员设置的系统登录密码过于简单,包括简易口令、默认口令、通用口令、长期不变口令等,容易被别人猜测到或被破解工具破解的密码,如"123456"、"AAAAAAAA"等,该类密码均属于弱口令.
2.
修复措施(1)不使用空密码或系统缺省的密码.
(2)密码长度不小于8个字符.
(3)密码不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.
tzf.
).
(4)密码应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符.
每类字符至少包含一个.
如果某类字符只包含一个,那么该字符不应为首字符或尾字符.
(5)密码中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词.
(6)至少90天内更换一次密码,防止未被发现的入侵者继续使用该密码.
二、文件上传漏洞1.
漏洞详情.
文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过Web访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器.
2.
修复措施需严格限制和校验上传的文件,禁止上传恶意代码的文件.
同时限制相关目录的执行权限,防范webshell攻击.
三、数据库SQL注入漏洞1.
漏洞详情.
数据库SQL注入漏洞,又称SQL注入攻击(SQLInjection),被广泛用于非法获取信息系统控制权,是发生在应用程序的数据库层上的安全漏洞.
在设计程序时,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害.
2.
修复措施(1)所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中.
当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击.
(2)对进入数据库的特殊字符('"&*;等)进行转义处理,或编码转换.
(3)确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型.
(4)数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行.
(5)网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过.
(6)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害.
(7)避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断.
(8)在网站发布之前建议使用一些专业的SQL注入检测工具进行检测,及时修补这些SQL注入漏洞.
四、敏感信息泄露漏洞1.
漏洞详情.
敏感信息泄露漏洞是指因业务需求,网页内可能提供文件下载和查看的功能,如果对用户查看或者下载的文件不做限制,就可以查看或者下载任意的文件,就能可能造成源代码、敏感文件泄露.
享有云怎么样?享有云是一家新的国内云服务器商家,目前提供国内、香港及海外地区的云服务器,拥有多线路如:BGP线路、CN2线路、高防等云服务器,并且提供稳定、安全、弹性、高性能的云端计算服务,实时满足您的多样性业务需求。目前,美国bgp云服务器,5M带宽,低至20元/月起,270元/年起,首月打折;香港2核2G2M仅50元/月起,450元/年起!点击进入:享有云官方网站地址享有云优惠活动:一、美国B...
蓝竹云怎么样 蓝竹云好不好蓝竹云是新商家这次给我们带来的 挂机宝25元/年 美国西雅图云服务器 下面是套餐和评测,废话不说直接开干~~蓝竹云官网链接点击打开官网江西上饶挂机宝宿主机配置 2*E5 2696V2 384G 8*1500G SAS RAID10阵列支持Windows sever 2008,Windows sever 2012,Centos 7.6,Debian 10.3,Ubuntu1...
百纵科技:美国高防服务器,洛杉矶C3机房 独家接入zenlayer清洗 带金盾硬防,CPU全系列E52670、E52680v3 DDR4内存 三星固态盘阵列!带宽接入了cn2/bgp线路,速度快,无需备案,非常适合国内外用户群体的外贸、搭建网站等用途。官方网站:https://www.baizon.cnC3机房,双程CN2线路,默认200G高防,3+1(高防IP),不限流量,季付送带宽美国洛杉矶C...