网络安全常见漏洞类型
漏洞类型 | 描述 | 原因 | 防御措施 |
---|---|---|---|
弱口令 | 使用简单易猜测的密码。 | 个习惯和安全意识不足。 | 设置复杂且易记的密码,遵循密码设置原则。 |
SQL注入 | 者通过构造特殊SQL语句,获取或修改数据库中的数据。 | 用户输入未经过滤,直接带入数据库执行。 | 采用预译SQL语句和绑定变量,使用正则表达式过滤传入参数。 |
文件上传漏洞 | 者上传恶意文件,获取执行服务端命令的能力。 | 服务端未严格验证和过滤文件上传功能。 | 白名单判断文件后缀,设置不可执行文件上传目录。 |
XSS(跨站脚本) | 者在网页中嵌入恶意脚本,在用户浏览器执行。 | 用户加载嵌入恶意代码的网页。 | 对用户输入进行验证和过滤特殊字符。 |
CSRF(跨站请求伪造) | 者利用目标用户身份执行非法作。 | 用户在不知情的情况下执行非预期作。 | 检查HTTP Referer,使用令牌验证。 |
DDoS | 多个计算机联合对一个目标发起。 | 者控大量僵网络。 | 部署流量清洗服务,使用防火墙。 |
逻辑漏洞 | 程序逻辑设计上的缺陷。 | 代码逻辑错误或不当。 | 代码审计,进行严格的逻辑测试。 |
XXE漏洞 | 影响处理XML数据的应用程序。 | XML解析器未正确处理外部实体。 | 限外部实体引用,禁用外部实体。 |
SSRF漏洞 | 者利用服务器发起请求访问内部系统。 | 服务器请求不安全的内网资源。 | 检查请求的目标,限请求范围。 |
远程命令/代码执行 | 者远程执行系统命令或代码。 | 不安全的远程命令执行接口。 | 限远程命令执行权限,使用参数化命令。 |
反序列化漏洞 | 者在反序列化过程中注入恶意代码。 | 不安全的反序列化处理。 | 进行安全码,避免使用不安全的反序列化库。 |
安全配置缺陷 | 系统配置不安全,导致安全漏洞。 | 配置不当或默认配置。 | 遵循最佳安全实践,定期更新配置。 |