1、明文传输
问题描述:对系统用户口令保护不敷,攻击者可以利用攻击工具,从网络上盗取合法的用户口令数据。
修正建议:传输的密码必须加密。
把稳:所有密码要加密。要繁芜加密。不要用base64或md5。
2、sql注入
问题描述:攻击者利用sql注入漏洞,可以获取数据库中的多种信息,如:管理后台的密码,从而脱取数据库中的内容(脱库)。
修正建议:对输入参数进行过滤、校验。采取黑白名单办法。
把稳:过滤、校验要覆盖系统内所有的参数。
3、跨站脚本攻击
问题描述:对输入信息没有进行校验,攻击者可以通过奥妙的方法注入恶意指令代码到网页。这种代码常日是JavaScript,但实际上,也可以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻击成功之后,攻击者可以拿到更高的权限。
修正建议:对用户输入进行过滤、校验。输出进行HTML实体编码。
把稳:过滤、校验、HTML实体编码。要覆盖所有参数。
4、文件上传漏洞
问题描述:没有对文件上传限定,可能会被上传可实行文件,或脚本文件。进一步导致做事器沦陷。
修正建议:严格验证上传文件,防止上传asp、aspx、asa、php、jsp等危险脚本。同时最好加入文件头验证,防止用户上传造孽文件。
5、敏感信息透露
问题描述:系统暴露内部信息,如:网站的绝对路径、网页源代码、SQL语句、中间件版本、程序非常等信息。
修正建议:对用户输入的非常字符过滤。屏蔽一些缺点回显,如自定义404、403、500等。
当然以上这些并不是所有可能涌现的漏洞,企业网站在运营过程中一定要常常检测掩护,最好有专门的卖力人对企业网站定期检测掩护,确保网站安全。杭州蒙特全资子公司杭州汉博为50余家银行客户供应了网站安全检测及加固做事,得到客户好评,近期将被省通信管理局批准为经营性网站供应安全加固做事的单位之一(加上汉博全省仅三家),汉博为蒙特9000多家在保客户供应全面高效的维保做事和安全保障。
