[点晴永久免费OA]网络安全常见五大漏洞(原理、危害、防御)总结以及常见漏洞类型
当前位置:点晴教程→点晴OA办公管理信息系统
→『 经验分享&问题答疑 』
一、弱口令 产生原因 与个人习惯和安全意识相关,为了避免忘记密码,使用一个非常容易记住 的密码,或者是直接采用系统的默认密码等。 危害 通过弱口令,攻击者可以进入后台修改资料,进入金融系统盗取钱财,进入OA系统可以获取企业内部资料,进入监控系统可以进行实时监控等等。 防御 设置密码通常遵循以下原则: (1)不使用空口令或系统缺省的口令,为典型的弱口令; (2)口令长度不小于8 个字符; (3)口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。 (4)口令应该为以下四类字符的组合:大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只 包含一个,那么该字符不应为首字符或尾字符。 (5)口令中不应包含特殊内容:如本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail 地址等等与本人有关 的信息,以及字典中的单词。 (6)口令不应该为用数字或符号代替某些字母的单词。 (7)口令应该易记且可以快速输入,防止他人从你身后看到你的输入。 (8)至少90 天内更换一次口令,防止未被发现的入侵者继续使用该口令。 二、XSS(跨站脚本攻击) 原理 **XSS(Cross Site Scripting):**跨站脚本攻击,为了不和层叠样式表(Cascading Style Sheets)的缩写CSS混合,所以改名为XSS **XSS原理:**攻击者在网页中嵌入客户端脚本(通常是JavaScript的恶意脚本),当用户使用浏览器加载被嵌入恶意代码的网页时,恶意脚本代码就会在用户的浏览器执行,造成跨站脚本的攻击 危害
防御
三、CSRF(跨站请求伪造 ) 原理 CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造 原理:攻击者利用目标用户的身份,执行某些非法的操作 跨站点的请求:请求的来源可以是非本站 请求是伪造的:请求的发出不是用户的本意。 危害
防御
四、SQL注入 产生原因 当Web应用向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理,那么攻击者就可以构造特殊的SQL语句,直接输入数据库引擎执行,获取或 修改数据库中的数据。 本质 把用户输入的数据当做代码来执行,违背了 “数据与代码分离”的原则。 SQL注入的两个关键点: 1、用户能控制输入的内容; 2、Web应用把用户输入的内容带入到数据库中执行; 危害
防御 (1)采用sql语句预编译和绑定变量 #{name} 其原因就是:采用了PrepareStatement,就会将SQL语句:“select id,name from user where id=?”预先编译好,也就是SQL引擎会预先进行语法分析,产生语法树,生成执行计划,也就是说,后面你输入的参数,无论你输入的是什么,都不会影响该SQL语句的语法结构了。因为语法分析已经完成了,而语法分析主要是分析SQL命令,比如:select、from、where、and、or、order by等等。 所以即使你后面输入了这些SQL命令,也不会被当成SQL命令来执行了,因为这些SQL命令的执行,必须先通过语法分析,生成执行计划,既然语法分析已经完成,已经预编译过了,那么后面输入的参数,是绝对不可能作为SQL命令来执行的,只会被当成字符串字面值参数。 (2)使用正则表达式过滤传入的参数 (3)过滤字符串,如insert、select、update、and、or等 五、文件上传 原理 在文件上传的功能处,若服务端未对上传的文件进行严格验证和过滤,导致攻击者上传恶意的脚本文件时,就有可能获取执行服务端命令的能力,称为文件上传漏洞。
成因
危害
绕过方式
防御
该文章在 2024/6/28 12:37:42 编辑过 |
关键字查询
相关文章
正在查询... 
|
400 186 1886
