![](https://img-blog.csdnimg.cn/20201014180756928.png?x-oss-process=image/resize,m_fixed,h_64,w_64)
网站常见漏洞
羊_了个羊
这个作者很懒,什么都没留下…
展开
-
网站常见漏洞(四)
由于企业管理员安全意识不强,为了图方便、好记使用弱口令,随着网络攻击的自动化、傻瓜化,弱口令攻击已成为一种最快速有效的攻击手段。企业对接sms验证码很多情况下是按条收费的,无限发送验证码可直接对企业财产造成损失。后端没有对验证码参数进行过期处理,导致一个验证码反复使用。验证码不失效,可配合明文传输账户密码进行爆破。用户可无限提交请求注册用户,扰乱正常的业务。用户可无限提交请求注册用户,扰乱正常的业务。修改代码,对验证码一旦使用则过期处理。无验证码以及传参加密,可直接爆破。修改后端代码,添加对验证码。原创 2024-08-11 15:00:15 · 323 阅读 · 0 评论 -
网站常见漏洞(三)
自签名SSL证书是没有可访问的吊销列表的,所以它不具备让浏览器实时查验证书的状态,一旦证书丢失或者被盗而无法吊销,就很有可能被用于非法用途从而让用户蒙受损失。”的警告,不仅降低了网页的浏览速度,还大大降低了访问者对网站的信任度。方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置。方式传递的敏感数据更容易被截获,降低了攻击的门槛,攻击者通过简单的。,有可能允许未授权的用户对其进行利用,修改服务器上的文件。1、关闭不安全的传输方法,推荐只使用POST、GET方法!原创 2024-08-10 14:13:08 · 566 阅读 · 0 评论 -
网站常见漏洞(二)
(超文本传输)协议定义的一种协议调试方法,该方法使得服务器原样返回任何客户端请求的内容(可能会附加路由中间的代理服务器的信息),由于该方法原样返回客户端提交的任意数据,因此,可用来进行跨站脚本(即使网站对关键页面启用了HttpOnly头标记,攻击者也可以通过TRACE方法绕过进行XSS攻击,盗取会话cookie、获取账户、模拟其他用户身份,甚至可以修改网页呈现给其他用户的内容。,覆盖在一个网页上,然后诱使用户在该页面上进行操作,此时用户将在不知情的情况下点击透明的。)攻击,这种攻击方式又称为跨站跟踪攻击(原创 2024-08-09 14:00:00 · 755 阅读 · 0 评论 -
网站常见漏洞
暴露出来的信息容易变成攻击者可利用的信息,如服务器中间件特性,支持的脚本语言等等。从安全的角度来说,隐藏版本号较相对安全!暴露出来的信息容易变成攻击者可利用的信息,如服务器中间件特性,支持的脚本语言等等。从安全的角度来说,隐藏版本号会相对安全些!暴露出来的版本号容易变成攻击者可利用的信息。从安全的角度来说,隐藏版本号会相对安全些!泄露jQuery版本后黑客可根据jQuery当前版本进行查找相关版本漏洞从而进行利用。返回的响应头信息中暴露了具体的容器版本,攻击者可针对中间件的特性进行利用。原创 2024-08-08 16:44:01 · 349 阅读 · 0 评论 -
网站常见漏洞(五)
用户登录后直接访问上述链接可以看到其他用户的用户名,邮箱及其登录密码散列等等信息,进而可以用john,hashcat等工具破解出明文密码或制作字典等等。测试账户一般为弱密码,随手一试还存在system账户。密码重置不应该使用时间戳来作为验证字段,修改高权限用户密码登录后攻击面会变大,危害也越大。另外,统一更改错误提示,无论账户存在与否都显示为“用户名或密码错误”,防止账户枚举。攻击者利用该漏洞绕过验证码,消耗服务器系统资源占用,扰乱正常的预约业务。如非必要,删除测试账户,或采用强安全性用户名。原创 2024-08-12 14:30:00 · 89 阅读 · 0 评论