弱密码、未授权加固/修复建议

最新推荐文章于 2024-08-05 18:19:59 发布
最新推荐文章于 2024-08-05 18:19:59 发布
阅读量2.4k 收藏 1
点赞数 1
分类专栏: 网络 文章标签: 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43400024/article/details/114575113
版权

弱密码加固

1、密码采用大小写字母、数字、特殊字符的混合密码。

2、密码长度不小于8位。

3、密码中不出现跟个人身份相关的信息。

4、不使用常见的键盘密码组合,比如:1qaz@WSX

5、三个月更换一次密码。

6、不使用历史使用的密码。

7、不在浏览器中保存密码。

8、不向他人传播密码,如需发送,需要进行加密,使用过后及时更改。

未授权修复方案

1、对于敏感信息的页面加入身份验证机制,比如:增加用户名密码验证。

2、统一系统的功能点进行权限的设置,防止低权限用户使用高权限用户操作的行为。

3、弃用系统及时下线,防止攻击者通过此漏洞横向渗透。

4、系统管理人员定期排查系统中是否存在该类漏洞。

5、重要系统进行隔离,防止内网中的任意主机都可以访问到该系统。

飞蓬6
关注
专栏目录
【漏洞挖掘】——88、VNC授权访问利用
Fly_鹏程万里
06-13 192
漏洞简介VNC(Virtual Network Computing)是一种远程桌面协议和软件系统,它允许用户通过网络远程控制和操作远程计算机,VNC协议使用客户端-服务器模型,其中VNC服务器在被控制的计算机上运行,而VNC客户端则在远程控制计算机的用户设备上运行,用通过VNC可以在本地计算机上查看和操作远程计算机的桌面界面就像直接坐在远程计算机前一样,VNC协议将远程计算机的图形界面信息传输到客户端并将客户端的输入动作传递给远程计算机,这使得用户可以远程访问和管理远程计算机核心组件。
web渗透测试漏洞复现:Hadoop 授权访问漏洞复现并getshell
HACKONE的博客
03-28 710
Hadoop是一个开源的分布式计算框架,由Apache软件基金会开发并维护。Hadoop主要用于处理和分析海量数据集,能够在由普通硬件构成的大规模集群上运行,具备高可靠性和高扩展性。HDFS是一个高度容错性的分布式文件系统,设计用于在廉价硬件上存储海量数据。数据会被切割成块并分布在集群中的多个节点上,以实现数据冗余和故障恢复。MapReduce:MapReduce是一个分布式编程模型,用于处理大规模数据集。它将复杂的计算任务拆分成两个主要阶段:Map阶段和Reduce阶段,允许数据并行处理。
几种“超强壮”的密码方案
网络安全3.0
06-27 938
介绍几种具有“超强壮”特性的密码安全方案
口令修复建议
凝聚力安全团队
09-01 8301
针对建议: (1)使用多种字符组合的强密码,如大小写字母+数字+特殊字符; (2)用户密码中不要出现与用户名或者系统名相关的字符,如用户名@123、系统名123等; (3)不要使用系统默认初始密码;或设定在系统首次登录时,强制修改系统默认初始密码; (4)应避免部门或单位对成员设置相同密码; (5)对系统中密码的存储进行加密处理,避免密码明文存储; (6)增强用户安全意识,定期变更系统密码; (7)应避免同一密码用于多个系统,避免由于信息泄露导致的安全风险连锁反应; ...
授权访问漏洞(及其修复方法)---看这一篇就够!!
最新发布
C233333235的博客
08-05 2604
Redis 默认情况下,会绑定在 0.0.0.0:6379 ,如果没有进⾏采⽤相关的策略,⽐如添加防 ⽕墙规则避免其他⾮信任来源 ip 访问等,这样将会将 Redis 服务暴露到公⽹上,如果在没有设 置密码认证(⼀般为空)的情况下,会导致任意⽤户在可以访问⽬标服务器的情况下授权Redis 以及读取 Redis 的数据。
伤感网络验证系统_网络攻防演练中密码安全治理的几点建议
weixin_39963853的博客
12-14 444
在一次网络安全攻防演习中,由口令导致的攻击事件实在令人心惊胆战。密码、空密码、内置及明文密码等逐一被挖掘出来。涉及不乏有企业重要业务系统以及核心基础设施的账号安全问题。对此,总结了一些小的建议和大家分享一下:1、重要基础设施增设双因子验证为重要基础设施及核心应用增设双因子认证,尤其是核心网络设备、安全设备、邮件系统等其他重要业务系统的登录验证。双因子动态验证是在账号密码的基础上增加动...
RedHat 密码策略加固
weixin_34202952的博客
08-02 601
配置账户口令期限 安全要求: 密码最大有效期90天,过期前10天提醒用户更改密码 通用策略: 对维护帐号和系统帐号启用口令过期策略,实施时根据业务加固策略决定业务帐号和数据库帐号是否能够配置口令期限。 风险说明: 如果口令在过期前不及时修改,可能造成业务中断。所以请确定哪些帐号需要进行例外设置。 如果存在关联密码的情况,在修改密码时没同步修改业务相关配置文件,会...
企业密码问题该如何解决?
CSDN_Adrian的博客
12-09 656
随着科学技术的发展,传统的用户名密码登录方式已经面临重大挑战,系统安全级别的升级及高安全性的市场需求,催生双因素认证系统的问世; 双因素认证是一种采用时间同步技术的系统,采用了基于时间、事件和密钥三变量而产生的一次性密码来代替传统的静态密码。每个动态密码卡都有一个唯一的密钥,该密钥同时存放在服务器端,每次认证时动态密码卡与服务器分别根据同样的密钥,同样的随机参数(时间、事件)和同样的算法计算
安全加固----一、口令安全加固
七天
07-06 956
一、防御口令攻击方法 1、设置复杂密码 复杂密码应同时满足以下要求: 密码长度大于等于8个字符。 至少包含大写字母(A~Z)、小写字母(a~z)、数字(0~9)、特殊字符(`~!@$%^&*()-_=+#|[{}];:'",<.>/?)中三种字符的组合。 密码不能为用户名或用户名的倒序。 不使用常见或公开的口令。 已公开的常用口令。例如abcd1234、admin、root、admin@123等。 数字或字母连排或混排,键盘字母连排。例如123456、abcdef、123abc、q
Memcache授权访问漏洞利用及修复
打代码的小女孩
11-17 7393
memcached是一套分布式的高速缓存系统。它以Key-Value(键值对)形式将数据存储在内存中,这些数据通常是应用读取频繁的。正因为内存中数据的读取远远大于硬盘,因此可以用来加速应用的访问。 漏洞成因: 由于memcached安全设计缺陷,客户端连接memcached服务器后无需认证就可读取、修改服务器缓存内容。 漏洞影响: 除memcached中数据可被直接读取泄...
swagger授权漏洞如何修复
04-26
修复Swagger授权漏洞的方法如下: 1. 将Swagger界面从公网移除,将其部署在内网环境中,只开放给授权人员使用。 2. 如果需要将Swagger界面暴露在公网上,需要在配置文件中设置Swagger UI访问密码,避免授权...
MongoDB授权访问漏洞复现及加固
weixin_43061533的博客
12-15 2988
0x01 漏洞简述 MongoDB是一个介于关系数据库和非关系数据库之间的产品,是非关系数据库当中功能最丰富,最像关系数据库的。它支持的数据结构非常松散,是类似json的bson格式,因此可以存储比较复杂的数据类型。Mongo最大的特点是它支持的查询语言非常强大,其语法有点类似于面向对象的查询语言,几乎可以实现类似关系数据库单表查询的绝大部分功能,而且还支持对数据建立索引。MongoDB服务安装后,默认开启权限验证。如果服务监听在0.0.0.0,则可远程无需授权访问数据库。 0x02 风险等级 严漏
服务器口令漏洞修复策略
m0_63004677的博客
03-13 4939
服务器口令漏洞修复
linux密码安全加固文件,LINUX安全加固方案
weixin_42519725的博客
04-29 390
LINUX 加固手册(2009-2-11)一、修改密码策略1、cp /etc/login.defs /etc/login.defs.bak2、vi /etc/login.defsPASS_MAX_DAYS 90 (用户的密码不过期最多的天数)PASS_MIN_DAYS 0 (密码修改之间最小的天数)PASS_MIN_LEN 8 (密码最小长度)PASS_WARN_AGE 7 (口令失效前多少天开始...
web应用登录存在尽口令
金溪的博客
09-13 5100
描述: 通过用户名、密码字典多次尝试目标站点的登录,猜测出可用于登录该站点的用户名、口令。由于限制登录错误次数,所以可以通过枚举尝试登录。   建议: 1.限制用户错误登录的次数,当超过错误登录次数,锁定该账户。 2.增加口令的复杂度 (1)对于用户注册的口令,建议制定注册口令的复杂度要求标准,对于不符合的复杂度要求的口令,不允许该用户进行注册。 (2)对于程序安装过程中出现的默认...
服务攻防——数据库安全之授权访问、口令
m0_61506558的博客
12-14 572
关于判断服务是否开放进行信息收集的内容,可能通过扫描工具,如果遇到WAF的话,通过常用搭建网站的组件进行尝试,或者通过特定服务提供的报错信息进行判断......由于基于 Erlang 的 JSON 解析器和基于 JavaScript 的 JSON 解析器的差异,在 1.7.0 之前的 Apache CouchDB 和 2.1.1 之前的 2.x 中,可以提交_users具有重复键的文档,roles用于数据库内的访问控制,包括特例_admin角色,表示管理用户。
SSL证书加密套件常见密钥以及修复建议
SSL加密技术
11-02 5962
服务器使用了anonymous套件 匿名加密套件检测(CVE-2007-1858),支持对SSL3.0、TLS1.0、TLS1.1、TLS1.2多种协议,19个ANON类加密套件,包含DES、AES、CAMELLIA和ARIA等算法。 TLS_DH_ANON_WITH_AES_256_GCM_SHA384 TLS_DH_ANON_WITH_AES_128_GCM_SHA256 TLS_DH_ANON_WITH_AES_256_CBC_SHA256 TLS_DH_ANON_WITH_AES_256_
常见web安全漏洞及修复建议
qq_27990381的博客
07-08 6779
WEB漏洞 高危漏洞 SQL Injection(SQL注入攻击) 漏洞描述 通过把SQL命令插入到Web表单递交或输入域名、页面请求的查询字符串中,最终达到欺骗服务器执行恶意的SQL命令。 示例: 以输入用户名、密码进行登录校验为例,当程序中存在SQL拼接时,可能发生的SQL注入攻击 代码中使用拼接SQL,验证用户是否存在 JdbcConnection conn = new JdbcConnection(); // 拼接SQL,引起 SQL 注入 String sql = "select * fr
常见中高危漏洞修复建议(汇总)
weixin_59047731的博客
04-16 1728
【代码】常见中高危漏洞修复建议(汇总)
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值