一、文件上传漏洞
文件上传漏洞是指由于程序员未对上传的文件进行严格的验证和过滤,而导致的用户可以越过其本身权限向服务器上上传可执行的动态脚本文件。这里上传的文件可以是木马、病毒、恶意脚本或者Webshell等。
防御:
1、文件上传的目录设置为不可执行;2、判断文件类型:在判断文件类型时,可以结合使用MIME Type、后缀检查等方式。在文件类型检查中,强烈推荐白名单方式;3、使用随机数改写文件名和文件路径等。
二、暴力破解漏洞
暴力破解攻击是指攻击者通过遍历或字典的方式,向目标发起大量请求,通过判断返回数据包的特征来找出正确的验证信息,从而绕过验证机制。
防御:
1、强制使用强密码,定期修改;2、对用户提交次数进行限制,限制密码错误尝试次数;3、限制一定事件内的高频访问次数等。
三、SQL注入漏洞
SQL注入漏洞是指:通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。
防御:
1、对输入进行严格的转义和过滤;2、数据类型进行严格定义,数据长度进行严格规定;3、通过WAF设备启用防止SQL注入的策略;4、严格限制网站访问数据库的权限。
四、跨站脚本漏洞(XSS)
跨站脚本(Cross-Site Scripting,简称为XSS或跨站脚本攻击)是一种针对网站应用程序的安全漏洞攻击技术,是代码注入的一种。
防御:
1、与SQL注入漏洞的防御建议一样,假定所有输入都是可疑的,必须对所有输入中的script、iframe等字样进行严格的检查;2、不仅要验证数据的类型,还要验证其格式、长度、范围和内容;3、不要仅仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。
五、远程命令执行漏洞
远程命令执行(remote code execution,简称RCE),指黑客直接在Web应用中执行系统命令,从而获取敏感信息或者拿下shell权限。造成的原因可能是Web服务器对用户输入命令安全检测不足,导致恶意代码被执行。
防御:
1、尽量减少命令执行函数的使用;2、客户端提交的变量在进入执行命令函数前要做好过滤和检测;3、在使用动态函数之前,确保使用的函数是指定的函数之一;4、参数的值尽量使用引号包裹。
end