&

[點(diǎn)晴永久免費(fèi)OA]網(wǎng)絡(luò)安全常見(jiàn)五大漏洞（原理、危害、防御）總結(jié)以及常見(jiàn)漏洞類(lèi)型

當(dāng)前位置：點(diǎn)晴教程→點(diǎn)晴OA辦公管理信息系統(tǒng) →『經(jīng)驗(yàn)分享&問(wèn)題答疑』

admin

2024年6月28日 12:37 本文熱度 2016

一、弱口令

產(chǎn)生原因

與個(gè)人習(xí)慣和安全意識(shí)相關(guān)，為了避免忘記密碼，使用一個(gè)非常容易記住的密碼，或者是直接采用系統(tǒng)的默認(rèn)密碼等。

危害

通過(guò)弱口令，攻擊者可以進(jìn)入后臺(tái)修改資料，進(jìn)入金融系統(tǒng)盜取錢(qián)財(cái)，進(jìn)入OA系統(tǒng)可以獲取企業(yè)內(nèi)部資料，進(jìn)入監(jiān)控系統(tǒng)可以進(jìn)行實(shí)時(shí)監(jiān)控等等。

防御

設(shè)置密碼通常遵循以下原則：

（1）不使用空口令或系統(tǒng)缺省的口令，為典型的弱口令；

（2）口令長(zhǎng)度不小于8 個(gè)字符；

（3）口令不應(yīng)該為連續(xù)的某個(gè)字符（例如：AAAAAAAA）或重復(fù)某些字符的組合（例如：tzf.tzf.）。

（4）口令應(yīng)該為以下四類(lèi)字符的組合：大寫(xiě)字母(A-Z)、小寫(xiě)字母(a-z)、數(shù)字(0-9)和特殊字符。每類(lèi)字符至少包含一個(gè)。如果某類(lèi)字符只包含一個(gè)，那么該字符不應(yīng)為首字符或尾字符。

（5）口令中不應(yīng)包含特殊內(nèi)容：如本人、父母、子女和配偶的姓名和出生日期、紀(jì)念日期、登錄名、E-mail 地址等等與本人有關(guān) 的信息，以及字典中的單詞。

（6）口令不應(yīng)該為用數(shù)字或符號(hào)代替某些字母的單詞。

（7）口令應(yīng)該易記且可以快速輸入，防止他人從你身后看到你的輸入。

（8）至少90 天內(nèi)更換一次口令，防止未被發(fā)現(xiàn)的入侵者繼續(xù)使用該口令。

二、XSS（跨站腳本攻擊）

原理

**XSS（Cross Site Scripting）：**跨站腳本攻擊，為了不和層疊樣式表（Cascading Style Sheets）的縮寫(xiě)CSS混合，所以改名為XSS

**XSS原理：**攻擊者在網(wǎng)頁(yè)中嵌入客戶端腳本（通常是JavaScript的惡意腳本），當(dāng)用戶使用瀏覽器加載被嵌入惡意代碼的網(wǎng)頁(yè)時(shí)，惡意腳本代碼就會(huì)在用戶的瀏覽器執(zhí)行，造成跨站腳本的攻擊

危害

盜取Cookie
網(wǎng)絡(luò)釣魚(yú)
植馬挖礦
刷流量
劫持后臺(tái)
篡改頁(yè)面
內(nèi)網(wǎng)掃描
制造蠕蟲(chóng)等

防御

對(duì)用戶的輸入進(jìn)行合理驗(yàn)證
對(duì)特殊字符（如 <、>、 ’ 、 ”等）

三、CSRF（跨站請(qǐng)求偽造）

原理

CSRF（Cross-Site Request Forgery），中文名稱(chēng)：跨站請(qǐng)求偽造原理：攻擊者利用目標(biāo)用戶的身份，執(zhí)行某些非法的操作跨站點(diǎn)的請(qǐng)求：請(qǐng)求的來(lái)源可以是非本站請(qǐng)求是偽造的：請(qǐng)求的發(fā)出不是用戶的本意。

危害

篡改目標(biāo)站點(diǎn)上的用戶數(shù)據(jù)
盜取用戶隱私數(shù)據(jù)
作為其他攻擊的輔助攻擊手法
傳播 CSRF 蠕蟲(chóng)

防御

檢查HTTP Referer是否是同域
限制Session Cookie的生命周期，減少被攻擊的概率
使用驗(yàn)證碼
使用一次性token

四、SQL注入

產(chǎn)生原因

當(dāng)Web應(yīng)用向后臺(tái)數(shù)據(jù)庫(kù)傳遞SQL語(yǔ)句進(jìn)行數(shù)據(jù)庫(kù)操作時(shí)。如果對(duì)用戶輸入的參數(shù)沒(méi)有經(jīng)過(guò)嚴(yán)格的過(guò)濾處理，那么攻擊者就可以構(gòu)造特殊的SQL語(yǔ)句，直接輸入數(shù)據(jù)庫(kù)引擎執(zhí)行，獲取或修改數(shù)據(jù)庫(kù)中的數(shù)據(jù)。

本質(zhì)

把用戶輸入的數(shù)據(jù)當(dāng)做代碼來(lái)執(zhí)行，違背了 “數(shù)據(jù)與代碼分離”的原則。

SQL注入的兩個(gè)關(guān)鍵點(diǎn)：

1、用戶能控制輸入的內(nèi)容；

2、Web應(yīng)用把用戶輸入的內(nèi)容帶入到數(shù)據(jù)庫(kù)中執(zhí)行；

危害

盜取網(wǎng)站的敏感信息
繞過(guò)網(wǎng)站后臺(tái)認(rèn)證
后臺(tái)登陸語(yǔ)句：SELECT*FROMadminWHEREUsername='user’andPassword=‘pass’
萬(wàn)能密碼：‘or‘1’=‘1’#
借助SQL注入漏洞提權(quán)獲取系統(tǒng)權(quán)限
讀取文件信

防御

（1）采用sql語(yǔ)句預(yù)編譯和綁定變量 #{name}

其原因就是：采用了PrepareStatement，就會(huì)將SQL語(yǔ)句：“select id,name from user where id=?”預(yù)先編譯好，也就是SQL引擎會(huì)預(yù)先進(jìn)行語(yǔ)法分析，產(chǎn)生語(yǔ)法樹(shù)，生成執(zhí)行計(jì)劃，也就是說(shuō)，后面你輸入的參數(shù)，無(wú)論你輸入的是什么，都不會(huì)影響該SQL語(yǔ)句的語(yǔ)法結(jié)構(gòu)了。因?yàn)檎Z(yǔ)法分析已經(jīng)完成了，而語(yǔ)法分析主要是分析SQL命令，比如：select、from、where、and、or、order by等等。

所以即使你后面輸入了這些SQL命令，也不會(huì)被當(dāng)成SQL命令來(lái)執(zhí)行了，因?yàn)檫@些SQL命令的執(zhí)行，必須先通過(guò)語(yǔ)法分析，生成執(zhí)行計(jì)劃，既然語(yǔ)法分析已經(jīng)完成，已經(jīng)預(yù)編譯過(guò)了，那么后面輸入的參數(shù)，是絕對(duì)不可能作為SQL命令來(lái)執(zhí)行的，只會(huì)被當(dāng)成字符串字面值參數(shù)。

（2）使用正則表達(dá)式過(guò)濾傳入的參數(shù)

（3）過(guò)濾字符串，如insert、select、update、and、or等

五、文件上傳

原理

在文件上傳的功能處，若服務(wù)端未對(duì)上傳的文件進(jìn)行嚴(yán)格驗(yàn)證和過(guò)濾，導(dǎo)致攻擊者上傳惡意的腳本文件時(shí)，就有可能獲取執(zhí)行服務(wù)端命令的能力，稱(chēng)為文件上傳漏洞。