常见的网络安全漏洞都有哪些

Posted 2023-04-05

第一：注入漏洞
由于其普遍性和严重性，注入漏洞位居漏洞排名第一位。常见的注入漏洞包括SQL、LDAP、OS命令、ORM和OGML。用户可以通过任何输入点输入构建的恶意代码，如果应用程序没有严格过滤用户的输入，一旦输入的恶意代码作为命令或者查询的一部分被发送到解析器，就可能导致注入漏洞。
第二：跨站脚本漏洞
XSS漏洞的全称是跨站点脚本漏洞。XSS漏洞是网络应用程序中常见的安全漏洞，它允许用户将恶意代码植入网页，当其他用户访问此页面时，植入的恶意脚本将在其他用户的客户端执行。危害有很多，客户端用户的信息可以通过XSS漏洞获取，比如用户登录的Cookie信息;信息可以通过XSS蜗牛传播;木马可以植入客户端;可以结合其他漏洞攻击服务器，并在服务器中植入特洛伊木马。
第三、文件上传漏洞
造成文件上传漏洞的主要原因是应用程序中有上传功能，但上传的文件没有通过严格的合法性检查或者检查功能有缺陷，导致木马文件上传到服务器。文件上传漏洞危害极大，因为恶意代码可以直接上传到服务器，可能造成服务器网页修改、网站暂停、服务器远程控制、后门安装等严重后果。
第四、文件包含漏洞
文件包含漏洞中包含的文件参数没有过滤或严格定义，参数可以由用户控制，可能包含意外文件。如果文件中存在恶意代码，无论文件是什么后缀类型，文件中的恶意代码都会被解析执行，导致文件包含漏洞。
第五、命令执行漏洞
应用程序的某些函数需要调用可以执行系统命令的函数。如果这些功能或者功能的参数可以被用户控制，那么恶意的命令就有可能通过命令连接器拼接成正常的功能，从而可以随意执行系统命令。这就是命令执行漏洞，属于高风险漏洞之一。 参考技术A GUEST用户，系统默认的隐藏共享，OFFICE的安全性级别，OUTLOOK软件，这些应该都算吧。 参考技术B 0-day是最危险也是最常见的，漏洞有很多，类型也很多，一时半会说不清，有WEB,FTP等等漏洞 参考技术C 比如说你把个人信息泄露在网上

参考资料：QQ安全、360安全

来自：求助得到的回答 参考技术C 去腾讯智慧安全申请个御点终端安全系统
申请好了之后，打开腾讯御点，选择修复漏洞
可以自动检测出电脑里面需要修复的漏洞然后一键修复

网站中常见的安全漏洞有哪些，如何修改

随着互联网的发展，网络安全问题越来越受到大家重视，一个企业的网站如果出现安全问题，对企业的品牌形象和用户信任度影响非常大，那如何保障网站的安全问题呢？我们能做的就是在出现问题前做好预防，今天小编来分享一些网站建设中常见的安全漏洞。

1、明文传输

问题描述：对系统用户口令保护不足，攻击者可以利用攻击工具，从网络上窃取合法的用户口令数据。

修改建议：传输的密码必须加密。

注意：所有密码要加密。要复杂加密。不要用base64或md5。

2、sql注入

问题描述：攻击者利用sql注入漏洞，可以获取数据库中的多种信息，如：管理后台的密码，从而脱取数据库中的内容（脱库）。

修改建议：对输入参数进行过滤、校验。采用黑白名单方式。

注意：过滤、校验要覆盖系统内所有的参数。

3、跨站脚本攻击

问题描述：对输入信息没有进行校验，攻击者可以通过巧妙的方法注入恶意指令代码到网页。这种代码通常是JavaScript，但实际上，也可以包括Java、VBScript、ActiveX、Flash或者普通的HTML。攻击成功之后，攻击者可以拿到更高的权限。

修改建议：对用户输入进行过滤、校验。输出进行HTML实体编码。

注意：过滤、校验、HTML实体编码。要覆盖所有参数。

4、文件上传漏洞

问题描述：没有对文件上传限制，可能会被上传可执行文件，或脚本文件。进一步导致服务器沦陷。

修改建议：严格验证上传文件，防止上传asp、aspx、asa、php、jsp等危险脚本。同事最好加入文件头验证，防止用户上传非法文件。

5、敏感信息泄露

问题描述：系统暴露内部信息，如：网站的绝对路径、网页源代码、SQL语句、中间件版本、程序异常等信息。

修改建议：对用户输入的异常字符过滤。屏蔽一些错误回显，如自定义404、403、500等。

6、命令执行漏洞

问题描述：脚本程序调用如php的system、exec、shell_exec等。

修改建议：打补丁，对系统内需要执行的命令要严格限制。

7、CSRF（跨站请求伪造）

问题描述：使用已经登陆用户，在不知情的情况下执行某种动作的攻击。

修改建议：添加token验证。时间戳或这图片验证码。

8、SSRF漏洞

问题描述：服务端请求伪造。

修改建议：打补丁，或者卸载无用的包

9、默认口令、弱口令

问题描述：因为默认口令、弱口令很容易让人猜到。

修改建议：加强口令强度不适用弱口令

注意：口令不要出现常见的单词。如：root123456、admin1234、qwer1234、pssw0rd等。

当然以上这些并不是所有可能出现的漏洞，企业网站在运营过程中一定要经常检测维护，最好有专门的负责人对企业网站定期检测维护，确保网站安全。