这是我参与「第五届青训营 」笔记创作活动的第10天
弱口令漏洞 概念: 弱口令没有严格和准确的定义,通常认为容易被别人猜测到或被破解工具破解的口令均为弱口令。
防御:
不使用空口令或系统缺省的口令,这些口令众所周之,为典型的弱口令。 口令长度不小于8个字符。 口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:abc.abc.)。 口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符,每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。 口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。 口令不应该为用数字或符号代替某些字母的单词。 口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。 至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。
URL跳转漏洞 概念: 利用URL跳转漏洞来诱导安全意识低的用户点击,导致用户信息泄露或者资金的流失。其原理是黑客构建恶意链接(链接需要进行伪装,尽可能迷惑),发在QQ群或者是浏览量多的贴吧/论坛中。 安全意识低的用户点击后,经过服务器或者浏览器解析后,跳到恶意的网站中。
漏洞:
Header头跳转 Javascript跳转 META标签跳转
XSS 和 CSRF
跨站脚本(XSS)和跨站点请求伪造(CSRF)是常见的攻击类型,它们发生在当您将用户发送的数据显示给这个用户或另一个用户时。
XSS允许攻击者将客户端脚本注入到其他用户查看的Web页面中。攻击者可以使用跨站点脚本攻击的漏洞来绕过诸如同源策略之类的访问控制。这些攻击的影响可能从一个小麻烦到一个重大的安全风险。
CSRF攻击类似于XSS攻击,因为它们以相同的方式开始攻击——向Web页面中注入客户端脚本——但它们的目标是不同的。CSRF攻击者试图将权限升级到特权用户(比如站点管理员)的级别,以执行他们不应该执行的操作(例如,将数据发送给一个不受信任的用户)。
XSS攻击利用用户对web站点的信任,而CSRF攻击则利用网站对其用户的信任。
为了防止这些攻击,您应该始终检查用户发送给服务器的数据(如果需要显示),尽量不要显示用户提供的HTML内容。相反,您应该对用户提供的数据进行处理,这样您就不会逐字地显示它。当今市场上几乎所有的框架都实现了一个最小的过滤器,它可以从任何用户发送的数据中删除HTML script iframe和object 元素。这有助于降低风险,但并不一定会消除风险。
