常见安全漏洞的处理及解决方法

上传人:daj****de2 文档编号:175901108 上传时间:2022-12-20 格式:DOCX 页数:5 大小:13.13KB
收藏 版权申诉 举报 下载
常见安全漏洞的处理及解决方法_第1页
第1页 / 共5页
常见安全漏洞的处理及解决方法_第2页
第2页 / 共5页
常见安全漏洞的处理及解决方法_第3页
第3页 / 共5页
资源描述:

《常见安全漏洞的处理及解决方法》由会员分享,可在线阅读,更多相关《常见安全漏洞的处理及解决方法(5页珍藏版)》请在装配图网上搜索。

1、相关名词解释、危害与整改建议1、网站暗链名词解释“暗链”就是看不见的网站链接,“暗链”在网站中的链接做的非 常隐蔽,短时间内不易被搜索引擎察觉。它和友情链接有相似之处,可 以有效地提高PR值。但要注意一点PR值是对单独页面,而不是整个网站。危害:网站被恶意攻击者插入大量暗链,将会被搜索引擎惩罚,降低权重 值;被插入大量恶意链接将会对网站访问者造成不良影响;将会协助恶 意网站(可能为钓鱼网站、反动网站、赌博网站等)提高搜索引擎网站 排名。可被插入暗链的网页也意味着能被篡改页面内容。整改建议:加强网站程序安全检测,及时修补网站漏洞;对网站代码进行一次全面检测,查看是否有其余恶意程序存在; 建议重新

2、安装服务器及程序源码,防止无法到检测深度隐藏的恶意 程序,导致重新安装系统后攻击者仍可利用后门进入。2、网页挂马网页挂马是通过在网页中嵌入恶意程序或链接,致使用户计算机在 访问该页面时触发执行恶意脚本,从而在不知情的情况下跳转至“放马 站点”(指存放恶意程序的网络地址,可以为域名,也可以直接使用IP 地址),下载并执行恶意程序。厚利用IE浏览器漏洞,让IE在后台自动下载黑客放置在网站上的木马 并运行(安装)这个木马,即这个网页能下载木马到本地并运行(安装) 下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个 网页,下载过程和运行(安装)过程就自动开始,从而实现控制访问者 电脑或安装

3、恶意软件的目的。整改建议:加强网站程序安全检测,及时修补网站漏洞; 对网站代码进行一次全面检测,查看是否有其余恶意程序存在; 建议重新安装服务器及程序源码,防止有深度隐藏的恶意程序无法 检测到,导致重新安装系统后攻击者仍可利用后门进入。3、SQL注入名词解释SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。危害:可能会查看、修改或删除数据库条目和表。严重的注入漏洞还可能 以当然数据库用户身份远程执行操作系统命令。整改建议: 补救方法在于对用户输入进行清理。通过验证用户输入,保证其中 未包含危险字符,便可能防止恶意的用户导

4、致应用程序执行计划外的任 务,例如:启动任意sQl查询、嵌入将在客户端执行的Javascript代码、运行 各种操作系统命令,等等。4、跨站点脚本跨站点脚本编制攻击是一种隐私违例,可让攻击者获取合法用户的 凭证,并在与特定 Web 站点交互时假冒这位用户。危害:可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户, 从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。整改建议: 应对跨站点脚本编制的主要方法有两点: 不要信任用户的任何输入,尽量采用白名单技术来验证输入参数; 输出的时候对用户提供的内容进行转义处理。5、弱口令鲁弱口令指的是仅包含简单数字和字母的口令,例如“I2

5、3”、“abc” 等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险 因此不推荐用户使用。危害:在当今很多地方以用户名(帐号)和口令作为鉴权的世界,口令的重 要性就可想而知了。口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥 匙,想想你的安全、你的财物、你的隐私。因为弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就 像把家门钥匙放在家门口的垫子下面,是非常危险的。整改建议:针对后台或者网络管理员的弱口令比较好解决,强制对所有的管理 系统账号密码强度必须达到一定的级别。(如使用数字+字母+特殊字符 和大小写)。6、任意文件下载名词解释利用路径回溯符“./”跳出程序本身的

6、限制目录实现下载任意文件。 危害:可以实现下载服务任何文件。整在改下建载议前:对传入的参数进行过滤,直接将.替换成空,对待下载文件类型 进行检查,判断是否允许下载类型。7、目录遍历漏洞名词解释 通过目录便利攻击可以获取系统文件及服务器的配置文件等等。危害:可能会查看 Web 服务器(在 Web 服务器用户的许可权限制下)上的任 何文件(例如,数据库、用户信息或配置文件)的内容。整改建议:防范目录遍历攻击漏洞,最有效的办法就是权限控制,谨慎处理传 向文件系统API的参数。最好的防范方法就是组合使用下面两条:1、净化数据:对用户传过来的文件名参数进行硬编码或统一编码, 对文件类型进行白名单控制,对

7、包含恶意字符或者空字符的参数进行拒 绝。2、web应用程序可以使用chrooted环境包含被访问的web 目录,或者使用 绝对路径+参数来访问文件目录,时使其即使越权也在访问目录之内。 www目录就是一个chroot应用。8 phpinfo信息泄露名词解释 通过Phpinfo文件泄露网站环境的详细信息。矍的会本嚴击*的配置信息;危危害害:)函数返回的信息中包含了服务器的配置信息,包括:I) PHP编 译选项以及文件扩展名的相关信息;2) php的版本信息3)1-步的4)数据库信息;等敏感信息。这些敏感信息会帮助攻击者展开进 攻击。整改建议:限制此类脚本的访问权限或者删除对phpin汕函数的调用。9、数据库下载名词解释直接通过浏览网页或输入url,下载网站的数据库。通过下载数据库查看网站的关键信息、人员的敏感信息 整改建议:修改数据库文件名,数据库名前+“#”。

展开阅读全文
温馨提示:
1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
2: 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
3.本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

最新文档

关于我们 - 网站声明 - 网站地图 - 资源地图 - 友情链接 - 网站客服 - 联系我们

copyright@ 2023-2025  zhuangpeitu.com 装配图网版权所有   联系电话:18123376007

备案号:ICP2024067431-1 川公网安备51140202000466号


本站为文档C2C交易模式,即用户上传的文档直接被用户下载,本站只是中间服务平台,本站所有文档下载所得的收益归上传人(含作者)所有。装配图网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。若文档所含内容侵犯了您的版权或隐私,请立即通知装配图网,我们立即给予删除!