三、弱口令漏洞 弱口令没有严格和准确的定义。他人(可能对您很了解)容易猜到的或被破解工具破解的密码通常被认为是弱口令。设置密码通常遵循以下原则: (1)请勿使用空口令或系统默认口令。这些口令是众所周知的,并且是典型的弱口令。 (2)口令长度不少于8个字符。 (3)口令不应为连续字符。 (4)口令应为以下四种字符的组合:大写字母(A-Z),小写字母(a-z),数字(0-9)和特殊字符。每种字符至少包含一个。如果某种类型的字符仅包含一个字符,则该字符不应为第一个或最后一个字符。 (5)口令中不应包括人,父母,子女和配偶的姓名和出生日期,纪念日,登录名,电子邮件地址等,以及字典中的单词。 (6)口令不应是使用数字或符号代替某些字母的单词。 (7)口令应该容易记住并且可以快速输入,以防止其他人从背后轻易看到您的输入。 (8)在90天内至少更改一次口令,以防止未被发现的入侵者继续使用该口令。 四、HTTP报头追踪漏洞 HTTP / 1.1(RFC2616)规范定义了HTTP TRACE方法,该方法主要由客户端通过向Web服务器提交TRACE请求来测试或获取诊断信息。当Web服务器启用TRACE时,所提交的请求头将全部返回到服务器的响应内容(body)中。 其中HTTP头很可能包括Session Token、Cookies或其它认证信息。攻击者可以利用此漏洞来欺骗合法用户并得到他们的私人信息。该漏洞往往与其它方式配合来进行有效攻击,由于HTTP TRACE请求可以通过客户浏览器脚本发起(如XMLHttpRequest),并可以通过DOM接口来访问,因此很容易被攻击者利用。 这是xst攻击,并且xst的实现是有条件的。 ①存在一个xss漏洞 ②服务器开启了trace方法。 攻击主要是因为网站有xss攻击,但是设置了httponly,所以结合了trace方法来实施xst攻击。 防御HTTP头跟踪漏洞的方法通常会禁用HTTP TRACE方法。 五、Struts2远程命令执行漏洞 Apache Struts是用于构建Java Web应用程序的开源体系结构。 Apache Struts中存在输入过滤错误。如果遇到转换错误,可以将其用于注入和执行任意Java代码。 该网站具有远程执行代码漏洞的大部分原因是因为该网站使用Apache Struts Xwork作为网站应用程序框架。由于该软件在远程执行代码中存在高风险漏洞,因此该网站面临安全风险。 CNVD处理了许多此类漏洞,例如:“ GPS车辆卫星定位系统”网站中的远程命令执行漏洞(CNVD-2012-13934); Aspcms留言簿(CNVD-2012-11590)等中的远程代码执行漏洞。 六、框架钓鱼漏洞(框架注入漏洞) 框架注入攻击是针对Internet Explorer 5,Internet Explorer 6和Internet Explorer 7的一种攻击。这种攻击导致Internet Explorer不检查结果框架的目的网站,从而允许跨Java访问诸如Javascript或VBScript的任意代码。 这种攻击也发生在代码透过多框架注入,肇因于脚本并不确认来自多框架的输入。这种其他形式的框架注入会影响所有的不确认不受信任输入的各厂商浏览器和脚本。 如果应用程序不要求不同的框架互相通信,就可以通过完全删除框架名称、使用匿名框架防止框架注入。但是,因为应用程序通常都要求框架之间相互通信,因此这种方法并不可行。 因此,通常使用命名框架,但在每个会话中使用不同的框架,并且使用无法预测的名称。一种可行的方法是在每个基本的框架名称后附加用户的会话令牌,如main_display。 七、文件上传漏洞 文件上传漏洞通常是由网页代码中文件上传路径路径变量过滤不严造成的。如果文件上传功能实现代码未严格限制用户上传的文件后缀和文件类型,则攻击者可以通过Web访问的目录上传任何文件,包括使用网站后门文件(webshell)来远程控制网站服务器。 因此,在开发网站和应用程序的过程中,必须严格限制和校验上传的文件,禁止上传带有恶意代码的文件。同时,限制相关目录的执行权限以防止Webshell攻击。 八、应用程序测试脚本泄露 由于测试脚本对提交的参数数据缺少充分过滤,因此远程攻击者可以使用该漏洞以WEB进程的权限查看系统上任何文件的内容。防御此类漏洞通常需要严格过滤提交的数据,以有效检测攻击。 九、私有IP地址泄露漏洞 IP地址是网络用户的重要标识,它是攻击者在攻击之前需要知道的信息。获取它的方法有很多,并且由于网络条件的不同,攻击者也会采用不同的方法,例如:在局域网中使用Ping命令通过对网络中另一方的名字执行ping操作来获取IP;使用IP版本的QQ直接在互联网上显示。最有效的方法是拦截和分析另一方的网络数据包。攻击者可以通过该软件找到并直接分析截获数据包的IP头信息,然后根据该信息了解特定的IP。 就最有效的“数据包分析方法”而言,您可以安装一些软件,该软件可以自动删除发送的数据包头的IP信息。但是,使用这些软件存在一些缺点,例如:严重消耗资源并降低计算机性能;访问某些论坛或网站时会受到影响;它不适合网吧用户。个人用户隐藏IP的最流行方法是使用代理。使用代理服务器后,“转发服务”将修改发送的数据包,从而导致“数据包分析”方法失效。一些易于泄漏用户IP的网络软件(QQ,MSN,IE等)支持使用代理连接到Internet,尤其是在QQ使用诸如“ ezProxy”的代理软件连接后,IP版本QQ无法显示IP地址。尽管代理可以有效地隐藏用户的IP,但是攻击者也可以绕过代理并找到另一方的真实IP地址。用户在什么情况下使用哪种方法隐藏IP取决于情况。 十、未加密登录请求 由于Web配置不安全,登录请求传输的敏感字段(如用户名和密码)未经加密。攻击者可以在网络上窃听以窃取这些敏感信息。建议在传输之前执行SSH等加密。 十一、敏感信息泄露漏洞 SQL注入,XSS,目录遍历,弱口令等可能导致敏感信息的泄露,攻击者可以通过漏洞获取敏感信息。针对不同成因,防御方式不同。
