网络安全常见十大漏洞总结(原理、危害、防御)_网络安全常见漏洞类型_漏洞基本原理

网络安全常见十大漏洞总结(原理、危害、防御)_网络安全常见漏洞类型_漏洞基本原理一、弱口令【文末福利】
产生原因
与个人习惯和安全意识相关,为了避免忘记密码,使用一个非常容易记住 的密码,或者是

一、弱口令【文末福利】

产生原因

这与个人习惯和安全意识有关。为避免忘记密码,请使用易于记忆的密码或直接使用系统默认密码。

危害

攻击者可以利用弱密码闯入后台更改信息、闯入财务系统窃取资金、闯入OA系统获取公司内部信息等,并可以渗透监控系统并进行实时监控。

防御

设置密码通常遵循以下原则:

(1) 避免使用空白密码或系统默认密码,这些密码通常是弱密码。

(2) 密码长度必须至少为8 个字符。

(3) 密码不得包含连续字符(例如AAAAAAAA)或重复字符的组合(例如tzf.tzf.)。

(4) 密码必须为大写字母(A-Z)、小写字母(a-z)、数字(0-9)、特殊字符四种字符的组合。每种类型至少包含一个字符。如果某种类型的字符只包含一个字符,则该字符不能是第一个或最后一个字符。

(5) 密码中不得包含特殊内容,例如姓名、出生日期、周年纪念日、登录名、电子邮件地址或其他有关该人的信息,或密码中包含的该人、父母、孩子或配偶请。字典。

(6) 密码不得用数字或符号代替特定字符。

(7) 密码必须容易记忆并能快速输入,以免其他人看到您背后输入的内容。

(8) 在90 天内至少更改一次密码,以防止未被发现的入侵者继续使用您的密码。

二、SQL注入

产生原因

当Web应用程序将SQL语句传递到后端数据库进行数据库操作时。如果用户输入的参数没有经过严格过滤,攻击者就可以创建特殊的SQL 语句并直接将其输入到数据库引擎中来执行它,以检索或修改数据库中的数据。

本质

将用户输入的数据视为可执行代码违反了“数据代码分离”原则。

关于SQL注入的两个要点:

1. 用户可以控制他们输入的内容。

2. Web应用程序检索用户输入到数据库中的内容并执行它。

危害

窃取网站敏感信息,绕过网站后端认证,后端登录语句:SELECT*FROMadminWHEREUsername=\’user\’andPassword=\’pass\’通用密码:\’or\’1\’=\’1\’#SQL注入利用获取系统权限中的漏洞提权检索文件信件。

防御

(1) 使用SQL语句预编译并绑定变量#{name}

原因是当您使用PrepareStatement时,SQL语句“select id,name from user where id=?”被预编译。这意味着SQL引擎会预先进行语法分析并生成语法树,这意味着无论您稍后输入什么参数,都不会影响SQL语句的语法结构。语法分析完成,语法分析主要分析select、from、where、or、order by等SQL命令。

因此,如果您稍后输入这些SQL 命令,它们不会作为SQL 命令执行。这是因为执行这些SQL命令首先要经过语法分析生成执行计划。语法分析已完成并已预编译。随后输入的参数永远不能作为SQL 命令执行,而仅被视为字符串文字参数。

(2)使用正则表达式过滤传入参数

(3) 过滤字符串,如insert、select、update等。

三、文件上传

原理

对于文件上传功能,如果服务器没有对上传的文件进行严格的验证和过滤,攻击者可能可以通过上传恶意脚本文件来执行服务器端命令,这种情况可以被利用在文件上传中,这就是漏洞。

成因

服务器配置错误开源编码器漏洞可以避免,因为本地上传限制不严格可以避免,因为服务器端过滤不严格

危害

上传恶意文件到getshell控制服务器

绕过方式

防御

确定文件后缀是否合法的白名单。确定文件类型并分别设置文件名和文件路径。使用安全设备进行保护。

四、XSS(跨站脚本攻击)

原理

**XSS(跨站脚本):** 跨站脚本攻击。层叠样式表(Cascading Style Sheets)更名为XSS,以避免与CSS 混淆。

**XSS原理:**如果攻击者在网页中嵌入客户端脚本(通常是恶意JavaScript脚本),那么当用户使用浏览器加载包含恶意代码的网页时,恶意脚本代码就会被执行在用户环境中。浏览器。引发跨站脚本攻击。

危害

Cookie窃取、网络钓鱼、养马、挖矿、流量劫持、后台篡改、页面破坏、内网扫描、蠕虫制作等。

防御

对用户输入的特殊字符(、’、”等)进行合理的验证,

五、CSRF(跨站请求伪造 )

原理

CSRF(Cross-Site Request Forgery),中文名称:跨站请求伪造原理:攻击者利用目标用户的身份执行某些非法操作。 跨站点请求:请求的来源可能在您的站点之外。伪造:请求发出不是用户的意图。

危害

它会更改目标站点上的用户数据,窃取用户的个人数据,并将其用作其他攻击的补充攻击向量来传播CSRF 蠕虫。

防御

检查HTTP Referrer是否在同一个域中,限制会话cookie的生命周期以减少攻击的可能性,并使用一次性令牌。

六、SSRF(服务器端请求伪造)

原理

SSRF(服务器端请求伪造):服务器端请求伪造通常是由攻击者制作一个请求,将其传递给服务器,然后服务器直接执行返回的请求,而不进行任何特殊处理。

危害

它扫描内网(主机、端口),并将精心构造的有效负载发送到内部主机上的任何端口,以攻击内网上的Web 应用程序、读取任意文件并拒绝服务攻击。

防御

统一错误信息,使用户无法根据错误信息判断远程服务器的端口状态。将请求的端口限制为常见的http 端口(80、443、8080 等)。禁用并仅允许不必要的协议。 http 和https。您可以根据您的请求需求,将特定域名添加到白名单中,并拒绝白名单之外的请求。后台代码验证请求的来源。

七、XXE(XML外部实体注入)

原理

XXE漏洞的正式名称是XML外部实体注入,或者XML外部实体注入。

当应用程序解析XML 输入而不阻止外部实体加载时,就会出现XXE 漏洞。这允许用户控制外部加载的文件,从而导致XXE 漏洞。

危害

任意文件读取、内网端口发现、拒绝服务攻击、网络钓鱼

防御

1. 使用您的开发语言提供的方法禁用外部实体

PHP:

libxml_disable_entity_loader(真);

爪哇

DocumentBuilderFactory dbf=DocumentBuilderFactory.newInstance(); dbf.setExpandEntityReferences(false);

Python:

从lxml 导入etree xmlData=etree.parse(xmlSource,etree.XMLParser(resolve_entities=False))

2. 过滤用户提交的XML数据

过滤关键字:DOCTYPE、ENTITY SYSTEM、PUBLIC

RCE

RCE(远程命令/代码执行),远程命令/代码执行

远程命令执行:允许用户控制系统命令执行功能的参数,也称为命令注入。

远程代码执行:用户输入的参数可以作为代码执行(也称为代码注入)。

命令执行可以认为是一种特殊类型的代码执行,并且代码执行相对灵活。

八、远程代码执行漏洞

原理

应用程序可能会调用一些系统命令函数。例如,在PHP中,可以使用system、exec、shell_exec等函数来执行系统命令,如果攻击者可以控制这些函数的参数,则可以将恶意命令嵌入到正常命令中。这会导致命令执行攻击。

命令执行漏洞是一种高危漏洞,也可以认为是一种特殊类型的代码执行。

原因

用户可以控制他们输入的内容。用户输入的内容作为命令执行。

防御方式

避免使用命令来运行函数

客户端发送的变量在进入执行命令函数方法之前必须经过过滤和敏感字符转义。

在使用动态函数之前,请确保所使用的函数是指定的函数之一。

对于PHP 语言,最好避免使用您无法完全控制的危险函数。

九、反序列化漏洞

原理

原因是程序没有检测到用户输入的反序列化字符串,导致反序列化过程被恶意控制,从而导致代码执行、getshell等一系列安全问题。

危害

不安全反序列化造成的主要危害是远程代码执行。无法执行远程代码可能会导致权限提升、任意文件读取和拒绝服务攻击。

防御方式

用户不应输入反序列化参数。如果确实需要反序列化不受信任的数据源,则必须确保数据没有被篡改,例如使用数字签名来验证数据完整性。相关功能。遵循用户输入的信息不可信任的原则,保证反序列化变量的内容不被污染,提高开发者的安全意识。

最后

接下来我们将为每个同学划分学习计划!

题外话

许多初次进入计算机行业或计算机相关专业大学毕业的人由于缺乏工作经验而很难找到工作。让我们看两个数据集。

预计2023年全国大学毕业生将达到1158万人,就业形势严峻。

根据全国网络安全宣传周期间发布的数据,到2027年,我国网络安全人才缺口将达到327万人。

每年应届毕业生就业形势困难,网络安全人才缺口达100万。

6月9日,Max Research 2023年就业蓝皮书(含《2023年中国本科生就业报告》 《2023年中国高职生就业报告》)正式发布。

2022年大学毕业生月收入最高的10个专业

本科计算机专业和高职自动化专业月收入较高。 2022年,本科计算机专业和高职自动化专业月工资分别为6863元和5339元。其中,本科计算机专业起薪与2021级基本持平,高职自动化专业月薪大幅上涨,2022级排名第一,领先于轨道交通专业(5295元)。

在网络安全领域,就像在医疗行业一样,年龄越大,技术越成熟,工作自然会受到更认真的评估,可以期待晋升和加薪。这是自然而然的。

黑客如何学习网络安全

如果您喜欢我今天的文章,我愿意免费分享我的私网安全学习资料,请您看一下。

网络安全行业特点

关于进攻和防守,有很多东西需要学习,但如果你能完成这些,那么你找工作或民事工作应该没有问题。

2、人才缺口大,就业机会多

网上的学习资源很多,但基本不完整。这是我录制的一个互联网安全视频教程,并附带了上面路线图中所有知识点的解释。

内容包括学习网络安全方法、网络安全操作等安全评估、渗透测试基础知识、漏洞详解、计算机基础知识等入门网络安全必须了解的学习内容。

1.学习路线图

我还整理了自己的技术文档,其中包括我参加大规模网络安全运营、CTF、SRC漏洞研究的经验和技术点。由于内容的保密性,有超过200 种电子书可供使用。不要一一展示。

1.学习路线图

“要想做好工作,首先要磨砺你的工具。”我为大家整理了几十种最流行的黑客工具。覆盖范围主要是信息收集、Android黑客工具、自动化工具、网络钓鱼等。欢迎有兴趣的同学来看看。

我还有视频中提到的案例的源代码和相应的工具包,所以如果你愿意的话,可以把它们带回家。

这些问题在面试深信服、奇安信、腾讯或者其他大公司的时候经常会遇到。如果您有任何好的问题或好的见解,请分享。

参考分析:深信服官网、奇安信官网、Freebuf、csdn等。

内容特点:组织清晰、图形化,易于理解。

内容概述:内网、操作系统、协议、渗透测试、安全服务、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、包括BP、MSF ……

本文转载自https://blog.csdn.net/yz_weixiao/article/details/135210486?spm=1001.2014.3001.5502。如有侵权,请联系我们删除。

#以上十大常见网络安全漏洞汇总(原理、危害、防护)_网络安全漏洞常见类型_漏洞基本原理相关内容来源网络,仅供参考。相关信息请参见官方公告。

原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93208.html

(0)
CSDN的头像CSDN
上一篇 2024年7月5日
下一篇 2024年7月5日

相关推荐

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注