网络安全常见漏洞类型总结(1)，网络安全开发技术总结

最新推荐文章于 2024-07-05 17:12:31 发布

2301_76190672

最新推荐文章于 2024-07-05 17:12:31 发布

阅读量901

点赞数 12

分类专栏： 2024年程序员学习文章标签： web安全数据库安全

本文链接：https://blog.csdn.net/2301_76190672/article/details/137550924

版权

2024年程序员学习专栏收录该内容

82 篇文章 0 订阅

订阅专栏

网络安全常见漏洞类型总结

1、弱口令

原因： 与个人习惯和安全意识相关，为了避免忘记密码，使用一个非常容易记住的密码，或者是直接采用系统的默认密码等。
危害： 通过弱口令，攻击者可以进入后台修改资料，进入金融系统盗取钱财，进入OA系统可以获取企业内部资料，进入监控系统可以进行实时监控等。
防御：
设置密码通常遵循以下原则：
（1）不使用空口令或系统缺省的口令；
（2）口令长度不小于8 个字符；
（3）口令不应该为连续的某个字符或重复某些字符的组合。
（4）口令应该为以下四类字符的组合：大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个，那么该字符不应为首字符或尾字符。
（5）口令中不应包含特殊内容：如本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail 地址等等与本人有关的信息，以及字典中的单词。
（6）口令不应该为用数字或符号代替某些字母的单词。
（7）口令应该易记且可以快速输入，防止他人从你身后看到你的输入。
（8）至少90天内更换一次口令，防止未被发现的入侵者继续使用该口令。

2、SQL注入

原因： 当Web应用向后台数据库传递SQL语句进行数据库操作时，如果对用户输入的参数没有经过严格的过滤处理，那么攻击者就可以构造特殊的SQL语句，直接输入数据库引擎执行，获取或修改数据库中的数据。SQL注入的两个关键点：1、用户能控制输入的内容；2、Web应用把用户输入的内容带入到数据库中执行。
危害： 盗取网站的敏感信息、绕过网站后台认证、借助SQL注入获取系统权限。
防御：
（1）采用sql语句预编译和绑定变量 #{name}；
（2）使用正则表达式过滤传入的参数；
（3）过滤字符串，如insert、select、update、and、or等。

3、文件上传

原理： 在文件上传的功能处，若服务端未对上传的文件进行严格验证和过滤，导致攻击者上传恶意的脚本文件时，就有可能获取执行服务端命令的能力，称为文件上传漏洞。
原因： 服务器的错误配置、开源编码器漏洞、本地上传上限制不严格被绕过、服务器端过滤不严格被绕过。
危害： 上传恶意文件、getshell、控制服务器。
防御： 白名单判断文件后缀是否合法、文件上传的目录设置为不可执行、判断文件类型、使用随机数改写文件名和文件路径、单独设置文件服务器的域名、使用安全设备防御。

4、XSS（跨站脚本攻击）

取名： XSS（Cross Site Scripting）：跨站脚本攻击，为了不和层叠样式表（Cascading Style Sheets）的缩写CSS混合，所以改名为XSS。
XSS原理： 攻击者在网页中嵌入客户端脚本（通常是JavaScript恶意脚本），当用户使用浏览器加载被嵌入恶意代码的网页时，恶意脚本代码就会在用户的浏览器执行，造成跨站脚本的攻击。
危害： 盗取Cookie、网络钓鱼、植马挖矿、刷流量、劫持后台、篡改页面、内网扫描、制造蠕虫等。
防御： 对用户的输入进行合理验证、对特殊字符（如 <、>、’、”等）验证。