048.com

设为048.com 加入收藏 联系大家

欢迎访问048.com!

威斯人娱乐网站系统常见漏洞类型及与修复措施
发布日期:2019-06-14 发布者:048.com  来源:威斯人娱乐网站- 电教网络中心 阅读

一、弱口令漏洞

1.漏洞详情。弱口令漏洞通常指威斯人娱乐网站系统管理员或使用人员设置的系统登录密码过于简单,包括简易口令、默认口令、通用口令、长期不变口令等,容易被别人猜测到或被破解工具破解的密码,如“123456”、“AAAAAAAA”等,该类密码均属于弱口令。

2.修复措施

(1)不使用空密码或系统缺省的密码。

(2)密码长度不小于8个字符。

(3)密码不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。

(4)密码应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。

(5)密码中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的威斯人娱乐网站,以及字典中的单词。

(6)至少90天内更换一次密码,防止未被发现的入侵者继续使用该密码。

二、文件上传漏洞

1.漏洞详情。文件上传漏洞通常由于网页代码中的文件上传路径变量过滤不严造成的,如果文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,攻击者可通过 Web 访问的目录上传任意文件,包括网站后门文件(webshell),进而远程控制网站服务器。

2.修复措施

需严格限制和校验上传的文件,禁止上传恶意代码的文件。同时限制相关目录的实行权限,防范webshell攻击。

三、数据库SQL注入漏洞

1.漏洞详情。数据库SQL注入漏洞,又称SQL注入攻击(SQL Injection),被广泛用于非法获取威斯人娱乐网站系统控制权,是发生在应用程序的数据库层上的安全漏洞。在设计程序时,忽略了对输入字符串中夹带的SQL指令的检查,被数据库误认为是正常的SQL指令而运行,使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

2.修复措施

(1)所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句实行接口,使用此接口可以非常有效的防止SQL注入攻击。

(2)对进入数据库的特殊字符(’”<>&*;等)进行转义处理,或编码转换。

(3)确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型。

(4)数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确实行。

(5)网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过。

(6)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。

(7)避免网站显示SQL错误威斯人娱乐网站,比如类型错误、字段不匹配等,防止攻击者利用这些错误威斯人娱乐网站进行一些判断。

(8)在网站发布之前建议使用一些专业的SQL注入检测工具进行检测,及时修补这些SQL注入漏洞。

四、敏感威斯人娱乐网站泄露漏洞

1.漏洞详情敏感威斯人娱乐网站泄露漏洞是指因业务需求,网页内可能提供文件下载和查看的功能,如果对用户查看或者下载的文件不做限制,就可以查看或者下载任意的文件,就能可能造成源代码、敏感文件泄露。

2.修复措施

对下载路径进行过滤,设置下载前对传入的参数进行过滤,并且对下载文件类型进行检查,检查被下载文件是否是允许下载的类型,同时系统禁止使用回溯符。

五、其他注意事项

1.对于网站和威斯人娱乐网站系统要建立完善相应管理制度。

2.进一步优化安全策略,对必须采取远程维护措施或需远程登录后台管理系统、内容管理系统的,要采取白名单、按需审批开放等方式实施严格访问控制。

3.设定账户尝试登录次数限制,加强对账号暴力破解的防范。

4.缩减互联网出入口和无线接入点,关闭或删除不必要的应用、服务、端口和链接,降低安全风险。

    5.定期更新网站或威斯人娱乐网站系统服务器杀毒App病毒库,及时安装高危漏洞补丁。

1560482830.png

扫一扫 分享本页

XML 地图 | Sitemap 地图