4
CSRF漏洞
CSRF漏洞
漏洞简介:
攻击者诱导当前已登录用户访问恶意网站,从而基于用户身份发送恶意请求、执行并非用户本意的敏感操作,如:账户转账、发表评论等。(请求是攻击者在恶意网站上构造的,用户访问时触发)
防御策略:
1 在敏感操作的HTTP请求参数中,添加随机的Token(推荐)
2 验证HTTP请求头中的Referer字段,用于判断请求来源是否是当前网站
3 在敏感操作处,添加图形验证码(影响用户体验)"
5
SSRF漏洞
SSRF漏洞
漏洞简介:
服务端提供了从其他服务器获取数据的功能(如: 在线翻译、通过URL地址加载或下载图片),但没有对目标地址做过滤和限制。
防御策略:
1 协议限制: 限制请求的协议,仅允许http和https, 禁止file://,dict://,gopher://等协议
2 域名限制: 限制请求的域名或IP,避免应用被用来获取内网数据,攻击内网
3 端口限制: 限制请求的端口,仅允许访问80,443,8080,8090等端口
4 过滤返回的信息: 如果web应用是去获取某一种类型的文件,那么在把返回结果展示给用户之前先验证返回的信息是否符合标准
6
越权漏洞
水平越权、垂直越权
漏洞简介:
如果权限控制功能设计存在缺陷,那么攻击者就可以通过这些缺陷来访问未经授权的功能或数据,即存在越权漏洞。其中;
水平越权指的是攻击者尝试访问与他拥有相同权限的用户的资源;
垂直越权指的是一个低级别攻击者尝试访问高级别用户的资源。
防御策略:
五不要
1、不要认为用户不知道页面地址,而不对页面做权限检查
2、不要认为验证用户身份即可,还需验证权限
3、不要相信用户提交的任何参数,对于可控参数进行严格的检查与过滤
4、不要认为用户会按照程序流程进行操作
5、不要相信用户不会篡改客户端自动提交的数据
五要求:
1、前后端同时对用户输入信息进行校验,双重验证机制
2、执行关键操作前必须验证用户身份,验证用户是否具备操作数据的权限
3、多阶段功能的每一步都要验证用户权限
4、对于直接对象引用,加密资源ID,以防止攻击者对ID进行枚举
5、清晰的前后端交互接口文档,描述每个接口的权限要求,校验权限的位置
7
短信炸弹漏洞
短信炸弹漏洞
漏洞简介:
攻击者在网站提供的发送短信验证码的地方,对其发送的数据包进行重放或遍历不同的手机号,如果短信平台未做校验,系统会一直去发送短信,这样就造成了短信炸弹漏洞。
防御策略:
1、 对于同一手机号码,应限制发送短信的时间间隔和一天可发送的数量。如: 每1分钟仅允许发送一次,没超过1分钟,则不允许发送,提示操作频繁;
2、 在发送短信功能处,可增加图片验证码。系统服务端对验证码做校验,不一致则拒绝发送短信
8
弱口令漏洞
应用系统弱口令
开发注册、重置密码、修改密码功能时,需按照指定规则对用户密码复杂度进行校验,对不满足要求的密码需在前端给予提示信息,防爆破,登录异常情况下锁定账户,或开启多因子认证。
密码复杂度要求:
9
应用系统管理员弱口令
开发重置密码、修改密码功能时,需按照指定规则对用户密码复杂度进行校验,对不满足要求的密码需在前端给予提示信息;第一次登录提示修改密码,按一定周期修改密码。防爆破,登录异常情况下多因子认证。
10
基础系统弱口令
在部署SSH、Redis、Mysql、Oracle、Weblogic等基础服务时,应避免使用弱口令或空密码的情况
相关阅读:
- 网站地图 |
- 声明:登载此文出于传递更多信息之目的,并不意味着赞同其观点或证实其描述。文章内容仅供参考,不做权威认证,如若验证其真实性,请咨询相关权威专业人士。