11
CSRF(跨站請求偽造)
問題描述:使用已經登陸多使用者,在不知情的情況下執行某種動作的攻擊。
修改建議:新增 token 驗證。時間戳或這圖片驗證碼。
12
任意檔案包含、任意檔案下載
問題描述:任意檔案包含,系統對傳入的檔名沒有合理的校驗,從而操作了預想之外的檔案。任意檔案下載,系統提供了下載功能,卻未對下載檔名進行限制。
修改建議:對多使用者提交的檔名限制。防止惡意的檔案讀取、下載。
13
設計缺陷/邏輯錯誤
問題描述:程式透過邏輯實現豐富的功能。很多情況,邏輯功能存在缺陷。比如,程式設計師的安全意識、考慮的不周全等。
修改建議:加強程式的設計和邏輯判斷。
14
XML 實體注入
問題描述:當允許引用外部實體是,透過構造惡意內容,可導致讀取任意檔案、執行系統命令、探測內網埠等等。
修改建議:使用開發語言提供的禁用外部實體方法,過濾多使用者提交的 XML 資料。
15
檢測存在風險的無關服務和埠
問題描述:檢測存在風險的無關服務和埠,為攻擊者提供便利。
修改建議:關閉無用的服務和埠,前期只開 80 和資料庫埠,使用的時候開放 20 或者 21 埠。
16
登陸功能驗證碼漏洞
問題描述:不斷惡意重複一個有效的資料包,重複發給服務端。服務端未對多使用者提交的資料包進行有效的限制。
修改建議:驗證碼在伺服器後端重新整理,資料包提交一次資料數重新整理一次。
17
不安全的 cookies
問題描述:cookies 中包含多使用者名稱稱或密碼等敏感資訊。
修改建議:去掉 cookies 中的多使用者名稱稱,密碼。
18
SSL3.0
問題描述:SSL 是為網路通訊提供安全及資料完整性的一種安全協議。 SSl 會爆一些漏洞。如:心臟滴血漏洞等。
修改建議:升級 OpenSSL 版本
19
SSRF 漏洞
問題描述:服務端請求偽造。
修改建議:打補丁,或者解除安裝無用的包
20
預設口令、弱口令
問題描述:因為預設口令、弱口令很容易讓人猜到。
修改建議:加強口令強度不適用弱口令
注意:口令不要出現常見的單詞。如:root123456 、 admin1234 、 qwer1234 、 p@ssw0rd 等。