(20240205)网络安全检查常见漏洞及修复建议

最新推荐文章于 2024-06-10 19:40:21 发布
最新推荐文章于 2024-06-10 19:40:21 发布
阅读量810 收藏 11
点赞数 6
文章标签: web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44787474/article/details/136035914
版权

1、Nacos组件漏洞

复测工具:nacos漏洞探测工具

修复建议:

①及时更新nacos组件版本信息。
②修改弱口令为强口令,8位以上包含字母、数字、特殊字符等。

2、目录遍历漏洞

复测工具:网页测试

修复建议:对目录进行设置,禁止未授权访问。

3、数据库弱口令

复测工具:专用工具

修复建议(MSSQL):

①MSSQL数据库的默认账户通常是"sa",这个账户具有最高权限,因此需要立即修改其密码。
②密码应包含大写和小写字母、数字和特殊字符,长度至少为8个字符。
③建议创建一个新的唯一、复杂的管理员账户,并赋予适当的权限。然后删除或禁用默认的"sa"账户。

4、HTTP弱口令

复测工具:网页测试

修复建议:

①加强密码口令管理,建议密码强度8位以上,使用大小写、特殊字符、符号等组合密码。
②限制用户连续登录失败的次数,防止暴力破解。

5、远程桌面弱口令

复测工具:mstsc远程登录

修复建议:

①修改用户名,避免使用“admin”“administrator”账户

②加强密码口令管理,建议密码强度8位以上,使用大小写、特殊字符、符号等组合密码。

6、UEditor任意文件上传

复测工具:访问http://ip:port/net/controller.ashx,出现参数为空或action不被支持说明漏洞存在。

修复建议:

①修改CrawlerHandler.cs文件,添加对文件类型检查的代码;
②升级至UEditor安全版本;
③使用各类WAF软件,防止攻击者上传恶意文件

7、IIS 远程代码执行

修复建议:

①及时更新和升级;
②配置安全策略;
③使用waf检测和阻止恶意请求

8、敏感信息泄漏

复测工具:网页测试

修复建议:设置业务系统访问权限,加强鉴权控制。

9、Spring Boot未授权访问漏洞

复测工具:网页测试

修复建议:升级到Spring Boot的最新版本

10、Redis数据库存在未授权访问漏洞

复测工具:专用工具

修复建议:

①设置密码,定期更改密码,使用至少8位以上的强口令;
②建议开启Redis认证机制,即只有授权用户才能连接Redis数据库。

11、SMB共享未授权访问漏洞

复测工具:\\ip地址测试

修复建议:

①对SMB共享进行身份认证,禁止未授权登录。
②加强密码口令管理,建议密码强度8位以上,使用大小写、特殊字符、符号等组合密码。

12、FTP存在匿名访问漏洞

复测工具:cmd-ftp-open ip地址-dir

修复建议:对ftp进行身份认证,禁止匿名登录。

13、内存泄漏漏洞

复测工具:网页测试(ip:端口号/debug/pprof/)

修复建议:系统升级至最新版本。

14、sql注入漏洞

复测工具:sqlmap

修复建议:针对SQL注入漏洞,建议一是立即联系开发商进行修复;二是通过WEB应用防火墙对SQL注入攻击进行防护。

15、Swagger-UI未授权访问漏洞

复测工具:网页测试(http://ip地址:端口号/swagger-ui.html)

修复建议:Swagger 开启页面访问限制、加强web安全防护。

16、Struts2远程代码执行漏洞

复测工具:专用工具

修复建议:升级至最新版本

17、solr 未授权访问漏洞

复测工具:nuclei专用工--网页测试

修复建议:配置solr访问控制权限

网安皮驴
关注
  • 6
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Alibaba Nacos存在默认弱口令漏洞
nnn2188185的博客
03-18 2114
Nacos是阿里巴巴最新开源的项目。 Alibaba Nacos存在弱口令漏洞。攻击者利用默认弱密码登录系统后台,获取敏感信息。
I常见安全漏洞修复方法
09-20
SQL注入是一种常见网络安全漏洞,发生在应用程序未能充分过滤或验证用户输入的情况下。攻击者通过在输入字段中插入恶意的SQL代码,能够操纵原本的SQL查询,导致数据泄露、非法数据修改或者服务器权限的获取。在...
十二、弱口令漏洞
weixin_46849264的博客
03-24 435
弱口令是比较经典安全漏洞之一,是指系统登录口令的设置强度不高,容易被攻击者猜到或破解,造成弱口令的主要原因是系统的运维人员、管理人员安全意识不足。
Nacos未授权访问漏洞
00勇士王子的博客
02-27 6265
一般来说,nacos建议部署在内网中,如果在外网出现,会有很大的风险。
上心师傅的思路分享(三)--Nacos渗透
最新发布
weixin_72543266的博客
06-10 1358
Nacos 是阿里巴巴推出来的一个开源项目,是一个更易于构建云原生应用的动态服务发现、配置管理和服务管理平台。致力于帮助发现、配置和管理微服务。Nacos 提供了一组简单易用的特性集,可以快速实现动态服务发现、服务配置、服务元数据及流量管理。但是Nacos是部署在内网的,因此下面通过语法搜索出来的可以看到的,一般会做访问限制的,正常是访问不到的,如果可以访问就可以尝试是否存在漏洞了.当然如果直接在真实环境下测试,一是未授权行为,二是不容易找到复现环境,所以在本地搭建环境来进行复现是最安全,也是最容易。
Nacos未授权访问漏洞复现
apple_52661176的博客
07-09 1256
nacos未授权访问漏洞的几种姿势
Hvv之Nacos漏洞分析与整改
天道酬勤
08-19 1607
nacos漏洞分析、复现与修复
一款Nacos漏洞自动化工具_nacos漏洞利用工具,阿里程序员的网络安全之路
2401_84248479的博客
04-11 814
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!
appscan安全漏洞修复
12-21
在IT行业中,应用程序的安全性是至关重要的,尤其是随着数字化进程的加速,网络安全威胁日益增多。IBM AppScan是一款广泛使用的静态代码分析工具,用于检测Web应用程序中的安全漏洞。本篇文章将详细探讨AppScan扫描...
网络安全渗透测试工具使用及经典竞赛题目讲解
08-30
网络安全渗透测试是评估系统安全性的关键方法,它模拟黑客攻击行为来发现并修复潜在的漏洞。本资源包提供了丰富的工具使用教程和经典竞赛题目解析,旨在帮助竞赛选手提升技能和理解网络安全的实战应用。 首先,Vega...
基于“物理路径泄露”漏洞网络安全问题防范.pdf
09-19
网络安全领域,"物理路径泄露"漏洞是一种常见安全漏洞,它可以让攻击者获取服务器的物理路径信息,进而实施进一步的攻击。该漏洞属于中低危风险漏洞,但攻击者可以配合其他漏洞及渗透工具对网站服务器造成入侵...
SexyBeast233#SecBooks#Alibaba Nacos 控制台默认弱口令1
07-25
Alibaba Nacos 控制台默认弱口令漏洞描述Alibaba Nacos 控制台存在默认弱口令 nacos/nacos,可登录后台查看敏感信息漏洞影响漏洞
web常见漏洞思维导图.rar
03-04
网络安全领域,Web常见漏洞是每一个IT专业人员都需要深入了解的重要课题。"web常见漏洞思维导图.rar"这个压缩包文件提供了对这些漏洞的系统性概述,涵盖了漏洞的原理和利用方式,这对于渗透测试和网络安全防护具有...
Nacos登录参数password进行sha256加密
zacharyjoke博客
09-08 1711
nacos安全加固
pprof实战-内存泄漏
StaticAuto的博客
02-23 3202
场景 在一台服务器中运行了多个服务,在运行一段时间后(不足一天),发现某个进程占用了50%以上的内存资源,导致服务器异常 解决方案 首先在代码中开启pprof性能分析 runtime.SetBlockProfileRate(1) go func() { log.Println(http.ListenAndServe(":9080", nil)) }() 采用在web界面查看的方式,此处监听9080端口 打开浏览器访问web页面:http://ip:1080/debug/pprof/访问 /debu
记录一个因为切换系统账户而导致的服务启动失败的问题(无法拉取nacos配置)
weixin_41247508的博客
11-06 733
缘起:最近公司总部在做弱口令扫描,扫到我们这边redis没有配置密码,leader把redis密码加上之后,亲自上阵在nacos上也加上了redis的密码,而且在这个过程中把原先的系统账户user1 改为了user2, 用user2账户登录后无论如何服务都起不了,leader找到了我,我上服务器去看了下 报错如下(显示nacos上的配置信息没有找到): 实际上该配置信息在nacos上是存在的 排查:这个时候我就在想是否是nacos有问题,这时我把jar包下载下来,直接把nacos上的配置copy到ja
Windows访问Samba提示“无权限访问”问题解决
hm315的专栏
09-17 1万+
Windows访问Samba提示“无权限访问”问题解决
弱口令介绍及破解方式
weixin_56990703的博客
04-02 1万+
一、弱口令的定义 仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。 二、弱口令的特点 1、连续字符串(如aaaa,abc等) 2、数字 数字通常会包含个人信息,如生日、身份证号的某几位。 3、字符串+数字;数字+字符串;重复数字或字符串的组合 三、安全口令的要求(有效防止弱口令) 1.不使用空口令或系统缺省的口令,因为这些口令众所周知,为典型的弱口令。 2.口令长度不小于8个字符。 3.口令不应该为
Nacos常见问题解决方法
热门推荐
写Bug的小白的博客
06-07 1万+
背景 在虚拟机安装 Nacos Server: 1.2.1,单机运行,虚拟机 IP 为 192.168.136.136 。接下来我服务起来后通过谷歌浏览器访问 Nacos 管理界面发现服务未注册,但控制台提示已经注册成功 nacos registry, cloud-nacos 192.168.72.1:9002 register finished。 这个问题你需要知道 Nacos 图形化管理界面与实际版本不一致。 通过谷歌浏览器访问地址:http://192.168.136.136:8848/nacos
python资源管理错误漏洞_Python中的10个常见安全漏洞修复方法
06-13
好的,以下是Python中的10个常见安全漏洞修复方法: 1. 资源管理错误漏洞:在使用文件、网络连接等资源时,没有正确处理异常或释放资源,导致资源泄漏或被滥用。修复方法:使用try-finally或with语句确保资源释放,或使用上下文管理器。 2. 注入漏洞:在使用动态SQL查询时,没有正确过滤用户输入,导致恶意代码被注入并执行。修复方法:使用参数化查询,或使用ORM框架。 3. XSS漏洞:在Web应用中,没有正确过滤和编码用户输入,导致恶意代码被注入并执行。修复方法:使用HTML编码或转义,或使用模板引擎。 4. CSRF漏洞:攻击者通过伪造请求,利用用户的身份在受信任的网站上执行操作。修复方法:使用CSRF令牌,或在请求中添加Referer检查。 5. 加密弱点:使用弱加密算法或不正确的密钥管理,导致加密数据易受攻击。修复方法:使用强加密算法和密钥管理,如AES、RSA等。 6. 权限管理漏洞:没有正确限制用户的权限,导致用户可以执行未授权的操作。修复方法:使用RBAC、ACL等权限管理模型,或使用框架提供的权限管理功能。 7. 文件上传漏洞:没有正确验证和限制用户上传的文件类型和大小,导致恶意文件被上传并执行。修复方法:限制文件类型和大小,并对上传的文件进行检测和处理。 8. DOS攻击:攻击者通过发送大量请求或恶意数据包,导致服务器或应用程序崩溃或无法响应。修复方法:使用限流、防火墙等技术进行防御。 9. 认证漏洞:没有正确验证用户的身份和权限,导致未经授权的用户可以访问敏感数据或执行操作。修复方法:使用安全认证协议、密码加盐、多因素认证等技术进行防御。 10. 代码注入漏洞:在使用动态代码执行时,没有正确过滤用户输入,导致恶意代码被注入并执行。修复方法:使用静态代码分析、白名单过滤等技术进行防御。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值