常见安全漏洞修复方法

BkK拜客生活常识网

4BkK拜客生活常识网

CSRF漏洞BkK拜客生活常识网

CSRF漏洞BkK拜客生活常识网

漏洞简介:
攻击者诱导当前已登录用户访问恶意网站，从而基于用户身份发送恶意请求、执行并非用户本意的敏感操作，如:账户转账、发表评论等。（请求是攻击者在恶意网站上构造的，用户访问时触发）
防御策略:
1 在敏感操作的HTTP请求参数中，添加随机的Token（推荐）
2 验证HTTP请求头中的Referer字段，用于判断请求来源是否是当前网站
3 在敏感操作处，添加图形验证码（影响用户体验）"BkK拜客生活常识网

BkK拜客生活常识网

5BkK拜客生活常识网

SSRF漏洞BkK拜客生活常识网

SSRF漏洞BkK拜客生活常识网

漏洞简介:
服务端提供了从其他服务器获取数据的功能(如: 在线翻译、通过URL地址加载或下载图片),但没有对目标地址做过滤和限制。
防御策略:
1 协议限制: 限制请求的协议，仅允许http和https, 禁止file://,dict://,gopher://等协议
2 域名限制: 限制请求的域名或IP,避免应用被用来获取内网数据，攻击内网
3 端口限制: 限制请求的端口，仅允许访问80,443,8080,8090等端口
4 过滤返回的信息: 如果web应用是去获取某一种类型的文件，那么在把返回结果展示给用户之前先验证返回的信息是否符合标准BkK拜客生活常识网

BkK拜客生活常识网

6BkK拜客生活常识网

越权漏洞BkK拜客生活常识网

水平越权、垂直越权BkK拜客生活常识网

漏洞简介:
如果权限控制功能设计存在缺陷，那么攻击者就可以通过这些缺陷来访问未经授权的功能或数据，即存在越权漏洞。其中;
水平越权指的是攻击者尝试访问与他拥有相同权限的用户的资源;
垂直越权指的是一个低级别攻击者尝试访问高级别用户的资源。
防御策略:
五不要
1、不要认为用户不知道页面地址，而不对页面做权限检查
2、不要认为验证用户身份即可，还需验证权限
3、不要相信用户提交的任何参数，对于可控参数进行严格的检查与过滤
4、不要认为用户会按照程序流程进行操作
5、不要相信用户不会篡改客户端自动提交的数据
五要求：
1、前后端同时对用户输入信息进行校验，双重验证机制
2、执行关键操作前必须验证用户身份，验证用户是否具备操作数据的权限
3、多阶段功能的每一步都要验证用户权限
4、对于直接对象引用，加密资源ID，以防止攻击者对ID进行枚举
5、清晰的前后端交互接口文档，描述每个接口的权限要求，校验权限的位置BkK拜客生活常识网

BkK拜客生活常识网

7BkK拜客生活常识网

短信炸弹漏洞BkK拜客生活常识网

短信炸弹漏洞BkK拜客生活常识网

漏洞简介:
攻击者在网站提供的发送短信验证码的地方，对其发送的数据包进行重放或遍历不同的手机号，如果短信平台未做校验，系统会一直去发送短信，这样就造成了短信炸弹漏洞。
防御策略:
1、 对于同一手机号码，应限制发送短信的时间间隔和一天可发送的数量。如: 每1分钟仅允许发送一次，没超过1分钟，则不允许发送，提示操作频繁；
2、 在发送短信功能处，可增加图片验证码。系统服务端对验证码做校验，不一致则拒绝发送短信BkK拜客生活常识网

BkK拜客生活常识网

8BkK拜客生活常识网

弱口令漏洞BkK拜客生活常识网

应用系统弱口令BkK拜客生活常识网

开发注册、重置密码、修改密码功能时，需按照指定规则对用户密码复杂度进行校验，对不满足要求的密码需在前端给予提示信息，防爆破，登录异常情况下锁定账户，或开启多因子认证。BkK拜客生活常识网

密码复杂度要求：BkK拜客生活常识网

9BkK拜客生活常识网

应用系统管理员弱口令BkK拜客生活常识网

开发重置密码、修改密码功能时，需按照指定规则对用户密码复杂度进行校验，对不满足要求的密码需在前端给予提示信息；第一次登录提示修改密码，按一定周期修改密码。防爆破，登录异常情况下多因子认证。BkK拜客生活常识网

BkK拜客生活常识网

10BkK拜客生活常识网

基础系统弱口令BkK拜客生活常识网

在部署SSH、Redis、Mysql、Oracle、Weblogic等基础服务时，应避免使用弱口令或空密码的情况BkK拜客生活常识网

相关阅读: