常见安全漏洞修复方法
myzbx 2024-12-12 13:38 40 浏览
序号 | 漏洞类别 | 漏洞类别 | 安全设计&开发 | |
1 | SQL注入 | SQL注入 | 漏洞简介: | |
2 | XSS漏洞 | XSS漏洞 | 漏洞简介: | |
3 | 文件上传漏洞 | 文件上传漏洞 | 漏洞简介: | |
4 | CSRF漏洞 | CSRF漏洞 | 漏洞简介: | |
5 | SSRF漏洞 | SSRF漏洞 | 漏洞简介: | |
6 | 越权漏洞 | 水平越权、垂直越权 | 漏洞简介: | |
7 | 短信炸弹漏洞 | 短信炸弹漏洞 | 漏洞简介: | |
8 | 弱口令漏洞 | 应用系统弱口令 | 开发注册、重置密码、修改密码功能时,需按照指定规则对用户密码复杂度进行校验,对不满足要求的密码需在前端给予提示信息,防爆破,登录异常情况下锁定账户,或开启多因子认证。 | 密码复杂度要求: |
9 | 应用系统管理员弱口令 | 开发重置密码、修改密码功能时,需按照指定规则对用户密码复杂度进行校验,对不满足要求的密码需在前端给予提示信息;第一次登录提示修改密码,按一定周期修改密码。防爆破,登录异常情况下多因子认证。 | ||
10 | 基础系统弱口令 | 在部署SSH、Redis、Mysql、Oracle、Weblogic等基础服务时,应避免使用弱口令或空密码的情况 | ||
11 | 外购产品弱口令 | 在部署外购产品时,需修改外购产品的默认口令,避免出现口令泄露的情况 | ||
12 | 任意密码重置 | 任意密码重置 | 漏洞简介: | |
13 | 敏感信息泄露 | 服务版本信息泄露 | 1、在部署WEB服务器的时候,应修改默认的banner图标信息,避免服务器版本信息的泄露 | |
14 | 错误页面信息泄露 | 报错信息中泄露服务器版本、异常调用栈,应设置统一的404或500等错误页面,避免将程序异常回显到前端页面,泄露敏感信息 | ||
15 | 前端页面信息泄露 | 1、html、jsp、js等返回前端的文件泄露测试提示、生产测试环境信息(ip)、默认账号信息、默认口令、接口信息、加密密钥、js第三方组件版本等,生产测试打包流程区分,js代码混淆; | ||
16 | 用户敏感信息 | 未按照相关监管要求,在传输、展示过程中泄露了证件、密码、磁道等用户敏感信息,或者密码采用了弱加密算法加密,可还原 | ||
17 | 系统敏感路径泄露 | 禁止返回绝对路径,仅返回文件名 | ||
18 | 其他信息泄露 | Phpinfo信息泄露、DS_Store文件泄露、SVN\GIT文件泄露、配置文件泄露、ip泄露、BigIP泄露、 | ||
19 | 安全配置缺陷 | 启用危险HTTP方法 | 在部署网站时,应关闭不需要开放的HTTP请求方法(如: DELETE、PUT、OPTIONS等),仅保留GET、POST方法 | |
20 | 错误配置CORS | Access-Control-Allow-Origin设置不能为* | ||
21 | HOST头攻击 | Nginx,修改ngnix.conf文件,在server中指定一个server_name名单,并添加检测。 | ||
22 | 传输层保护不足 | 1 对于涉及敏感数据的业务系统,强制使用HTTPS协议,以确保数据在传输过程中不会被泄露或窃取 | ||
23 | 高危端口开放 | 禁止对互联网开放与业务系统无关的高危端口,如: 22、3389等, | ||
24 | 暴力破解攻击 | 暴力破解攻击 | 漏洞简介: | |
25 | 用户枚举漏洞 | 用户枚举漏洞 | 漏洞简介: | |
26 | 点击劫持漏洞 | 点击劫持漏洞 | 漏洞简介: | |
27 | 未授权访问漏洞 | 未授权访问漏洞 | 漏洞简介: | |
28 | URL重定向/跳转漏洞 | URL重定向/跳转漏洞 | 漏洞简介: | |
29 | 命令执行漏洞 | 命令执行漏洞 | 漏洞简介: | |
30 | 验证码缺陷 | 验证码不过期(复用)/绕过 | 1、验证码复杂度应满足一定规则,降低被自动化工具识别的比例 | |
31 | 业务逻辑漏洞 | 业务逻辑漏洞 | 业务逻辑设计不严谨,参数校验不严格,如流程绕过、顺序变更、异常值等 | |
32 | 任意文件下载 | 任意文件读取下载(目录遍历) | 1、对文件名等相关字段进行校验。 |
- 上一篇:《JAVASCRIPT高级程序设计》第二章
- 下一篇:这一次,终于把XSS理解透彻
相关推荐
- 砌体植筋拉拔试验检验值到底是6.0KN,还是10.2KN,如何计算确定
-
砌体拉结筋植筋养护完成后,需对所植钢筋进行拉拔试验,以检验植筋的锚固强度是否满足设计要求。检测时,按照一定的抽样比例进行拉拔试验。根据《混凝土结构后锚固技术规程》JGJ145-2013,以同品种、同...
- 柴油机功率如何计算?计算柴油机功率需要哪些参数?
-
在汽车领域,对于柴油机功率的计算是一项重要的工作,它有助于我们更好地了解柴油机的性能和适用场景。下面我们就来详细探讨一下柴油机功率的计算方法以及所需的参数。首先,我们要了解计算柴油机功率常用的公式。在...
- 变压器短路阻抗的作用和计算方法(变压器短路阻抗的作用和计算方法是什么)
-
变压器短路阻抗的作用和计算方法短路阻抗是在负载试验中测量的一项数据,它是二次侧短接并流过额定电流时,一次侧施加的电压与额定电压的的百分数。那么测量变压器的短路阻抗有什么意义呢?其实变压器的阻抗电压乃是...
- 9.35m层高高支模支撑架计算书(支模架多高属于高支模)
-
某工厂新扩建的建筑面积为1989.2m^2,建筑物总体分为2层,但局部为4层。建筑物檐高19.4m,建筑物总高23m。建筑物呈长方形设置,长度为48.20m,宽度为23.88m,结构形式为框架结构...
- 吊篮(悬挂装置前梁加长)安全复核计算书
-
吊篮(悬挂装置前梁加长)安全复核计算书一种超常规搭设的高处作业吊篮,因使用要求将吊篮悬挂装置前梁加长设置,本计算书针对这种工况的校核,以作参考。计算依据:1、《高处作业吊篮》GB/T19155-...
- 电功率计算公式精编汇总(电功率计算视频讲解)
-
一、电功率计算公式:1在纯直流电路中:P=UIP=I2RP=U2/R式中:P---电功率(W),U---电压(V),I----电流(A),R---电阻(Ω)。2在单相交流电路中:P=UIcosφ...
- 灌注桩承载力检测方法及步骤(灌注桩承载力不够怎么办)
-
检测灌注桩的承载力是确保基础工程安全可靠的关键环节,检测结果的精细能准确为我们提供可靠的数据,让我们能准确判断桩基础的承载力,方便后续施工安排,同样也能让我们根据数据分辨出有问题桩基,采取可靠有效的措...
- 很哇塞的体积计算方法:向量叉乘 很哇塞的体积计算方法
-
高中数学必看:向量叉乘,体积的神。大家都知道a、b的向量是什么意思,但是a、b的向量又是什么?很多同学都不知道,向量的向量在高中阶段非常有用,虽然它是大学的知识,在高中阶段可以干两件事。·第一件事,表...
- 施工升降机基础(设置在地库顶板回顶)计算书
-
施工升降机基础(设置在地库顶板回顶)计算书计算依据:1、《施工现场设施安全设计计算手册》谢建民编著2、《建筑地基基础设计规范》GB50007-20113、《混凝土结构设计标准》GB/T50010-2...
- 剪力墙水平钢筋根数如何计算?(剪力墙水平钢筋绑扎搭接规范)
-
剪力墙水平钢筋根数的计算需综合考虑墙高、起步距离、间距及构造要求等因素,具体步骤如下及依据:1.基本计算公式水平钢筋根数计算公式为:根数=(墙高-起步距离)/间距(墙高-起步距离)/间距...
- 直流电路常用计算公式(直流电路常用计算公式有哪些)
-
1、电阻导体阻碍电流通过的能力叫做电阻,用字母R表示,单位欧(Ω)。R=ρl/s式中R-导体的电阻,欧(Ω);ρ-导体的电阻率,欧·米(Ω·m);l-导体的长度,米(m);s-导体的截面积,平方米(m...
- 电气主电路图的绘制特点(电气原理图主电路)
-
1、电气主电路图中的电气设备、元件,如电源进线、变压器、隔离开关、断路器、熔断器、避雷器等都垂直绘制,而母线则水平绘制。电气主电路图除特殊情况外,几乎无一例外地画成单线图,并以母线为核心将各个项目(如...
- 中考总复习:物理专题 功和机械能 (功的计算、功率、动能、势能)
-
中考物理专题:功与机械能解析一、力学中的功——能量转化的桥梁功是力对物体能量变化的量度,需满足两要素:作用在物体上的力、物体沿力方向移动距离。例如推箱子时,若箱子未移动,推力不做功;若箱子滑动,推力做...
- 40亿QQ号,不超过1G内存,如何去重?
-
分享一道网上很火的面试题:40亿QQ号,不超过1G的内存,如何去重?这是一个非常经典的海量数据去重问题,并且做了内存限制,最多只能1GB,本文跟大家探讨一下~~一、常规思路我们日常开发中,如果谈到去重...
- 填充墙体拉结筋植筋深度、孔径、拉拔试验承载力计算!
-
今天分享下植筋间距及保护层要求:根据JGJ145-2013混凝土后锚固技术规程要求植筋与混凝土结构边缘不应小于5mm,植筋为两根及以上时水平间距为不应小于5d(d为钢筋直径)。根据混凝土结构后锚固技...
- 一周热门
- 最近发表
- 标签列表
-
- HTML 简介 (30)
- HTML 响应式设计 (31)
- HTML URL 编码 (32)
- HTML Web 服务器 (31)
- HTML 表单属性 (32)
- HTML 音频 (31)
- HTML5 支持 (33)
- HTML API (36)
- HTML 总结 (32)
- HTML 全局属性 (32)
- HTML 事件 (31)
- HTML 画布 (32)
- HTTP 方法 (30)
- 键盘快捷键 (30)
- CSS 语法 (35)
- CSS 轮廓宽度 (31)
- CSS 谷歌字体 (33)
- CSS 链接 (31)
- CSS 定位 (31)
- CSS 图片库 (32)
- CSS 图像精灵 (31)
- SVG 文本 (32)
- 时钟启动 (33)
- HTML 游戏 (34)
- JS Loop For (32)