,,

[點晴永久免費OA]網(wǎng)絡(luò)安全常見五大漏洞（原理、危害、防御）總結(jié)以及常見漏洞類型

當(dāng)前位置：點晴教程→點晴OA辦公管理信息系統(tǒng) →『經(jīng)驗分享&問題答疑』

admin

2024年6月28日 12:37 本文熱度 1479

一、弱口令

產(chǎn)生原因

與個人習(xí)慣和安全意識相關(guān)，為了避免忘記密碼，使用一個非常容易記住的密碼，或者是直接采用系統(tǒng)的默認(rèn)密碼等。

危害

通過弱口令，攻擊者可以進(jìn)入后臺修改資料，進(jìn)入金融系統(tǒng)盜取錢財，進(jìn)入OA系統(tǒng)可以獲取企業(yè)內(nèi)部資料，進(jìn)入監(jiān)控系統(tǒng)可以進(jìn)行實時監(jiān)控等等。

防御

設(shè)置密碼通常遵循以下原則：

（1）不使用空口令或系統(tǒng)缺省的口令，為典型的弱口令；

（2）口令長度不小于8 個字符；

（3）口令不應(yīng)該為連續(xù)的某個字符（例如：AAAAAAAA）或重復(fù)某些字符的組合（例如：tzf.tzf.）。

（4）口令應(yīng)該為以下四類字符的組合：大寫字母(A-Z)、小寫字母(a-z)、數(shù)字(0-9)和特殊字符。每類字符至少包含一個。如果某類字符只包含一個，那么該字符不應(yīng)為首字符或尾字符。

（5）口令中不應(yīng)包含特殊內(nèi)容：如本人、父母、子女和配偶的姓名和出生日期、紀(jì)念日期、登錄名、E-mail 地址等等與本人有關(guān) 的信息，以及字典中的單詞。

（6）口令不應(yīng)該為用數(shù)字或符號代替某些字母的單詞。

（7）口令應(yīng)該易記且可以快速輸入，防止他人從你身后看到你的輸入。

（8）至少90 天內(nèi)更換一次口令，防止未被發(fā)現(xiàn)的入侵者繼續(xù)使用該口令。

二、XSS（跨站腳本攻擊）

原理

**XSS（Cross Site Scripting）：**跨站腳本攻擊，為了不和層疊樣式表（Cascading Style Sheets）的縮寫CSS混合，所以改名為XSS

**XSS原理：**攻擊者在網(wǎng)頁中嵌入客戶端腳本（通常是JavaScript的惡意腳本），當(dāng)用戶使用瀏覽器加載被嵌入惡意代碼的網(wǎng)頁時，惡意腳本代碼就會在用戶的瀏覽器執(zhí)行，造成跨站腳本的攻擊

危害

盜取Cookie
網(wǎng)絡(luò)釣魚
植馬挖礦
刷流量
劫持后臺
篡改頁面
內(nèi)網(wǎng)掃描
制造蠕蟲等

防御

對用戶的輸入進(jìn)行合理驗證
對特殊字符（如 <、>、 ’ 、 ”等）

三、CSRF（跨站請求偽造）

原理

CSRF（Cross-Site Request Forgery），中文名稱：跨站請求偽造原理：攻擊者利用目標(biāo)用戶的身份，執(zhí)行某些非法的操作跨站點的請求：請求的來源可以是非本站請求是偽造的：請求的發(fā)出不是用戶的本意。

危害

篡改目標(biāo)站點上的用戶數(shù)據(jù)
盜取用戶隱私數(shù)據(jù)
作為其他攻擊的輔助攻擊手法
傳播 CSRF 蠕蟲

防御

檢查HTTP Referer是否是同域
限制Session Cookie的生命周期，減少被攻擊的概率
使用驗證碼
使用一次性token

四、SQL注入

產(chǎn)生原因

當(dāng)Web應(yīng)用向后臺數(shù)據(jù)庫傳遞SQL語句進(jìn)行數(shù)據(jù)庫操作時。如果對用戶輸入的參數(shù)沒有經(jīng)過嚴(yán)格的過濾處理，那么攻擊者就可以構(gòu)造特殊的SQL語句，直接輸入數(shù)據(jù)庫引擎執(zhí)行，獲取或修改數(shù)據(jù)庫中的數(shù)據(jù)。

本質(zhì)

把用戶輸入的數(shù)據(jù)當(dāng)做代碼來執(zhí)行，違背了 “數(shù)據(jù)與代碼分離”的原則。

SQL注入的兩個關(guān)鍵點：

1、用戶能控制輸入的內(nèi)容；

2、Web應(yīng)用把用戶輸入的內(nèi)容帶入到數(shù)據(jù)庫中執(zhí)行；

危害

盜取網(wǎng)站的敏感信息
繞過網(wǎng)站后臺認(rèn)證
后臺登陸語句：SELECT*FROMadminWHEREUsername='user’andPassword=‘pass’
萬能密碼：‘or‘1’=‘1’#
借助SQL注入漏洞提權(quán)獲取系統(tǒng)權(quán)限
讀取文件信

防御

（1）采用sql語句預(yù)編譯和綁定變量 #{name}

其原因就是：采用了PrepareStatement，就會將SQL語句：“select id,name from user where id=?”預(yù)先編譯好，也就是SQL引擎會預(yù)先進(jìn)行語法分析，產(chǎn)生語法樹，生成執(zhí)行計劃，也就是說，后面你輸入的參數(shù)，無論你輸入的是什么，都不會影響該SQL語句的語法結(jié)構(gòu)了。因為語法分析已經(jīng)完成了，而語法分析主要是分析SQL命令，比如：select、from、where、and、or、order by等等。

所以即使你后面輸入了這些SQL命令，也不會被當(dāng)成SQL命令來執(zhí)行了，因為這些SQL命令的執(zhí)行，必須先通過語法分析，生成執(zhí)行計劃，既然語法分析已經(jīng)完成，已經(jīng)預(yù)編譯過了，那么后面輸入的參數(shù)，是絕對不可能作為SQL命令來執(zhí)行的，只會被當(dāng)成字符串字面值參數(shù)。

（2）使用正則表達(dá)式過濾傳入的參數(shù)

（3）過濾字符串，如insert、select、update、and、or等

五、文件上傳

原理

在文件上傳的功能處，若服務(wù)端未對上傳的文件進(jìn)行嚴(yán)格驗證和過濾，導(dǎo)致攻擊者上傳惡意的腳本文件時，就有可能獲取執(zhí)行服務(wù)端命令的能力，稱為文件上傳漏洞。