服务器防黑技巧
在频频恶意攻击用户、系统漏洞层出不穷的今天,作为网络治理员、系统治理员虽然在服务器的安全上都下了不少功夫,诸如及时打上系统安全补丁、进行一些常规的安全配置,但有时仍不安全。因此必须恶意用户入侵之前,通过一些系列安全设置,来将入侵者们挡在“安全门”之外,下面就将最简单、最有效的防 (Overflow)溢出、本地提供权限攻击类的解决办法给大家分享。[......]
标签归档:漏洞
Path Traversal漏洞分析与修复方法
漏洞描述
目录遍历指的是应用程序对文件路径没有检查导致服务器上的敏感文件/代码泄漏。
漏洞危害
可能会导致源代码等敏感信息泄露。
修复建议
严格检查文件路径参数,限制在指定的范围。严格限制文件路径参数,不允许用户控制文件路径相关的参数,限定文件路径范围。[......]
Remote File Inclusion漏洞分析与修复方法
漏洞描述
远程文件包含是指程序代码在处理包含文件的时候没有严格控制。导致用户可以构造参数包含远程代码在服务器上执行,进而获取到服务器权限,造成网站被恶意删除,用户和交易数据被篡改等一系列恶性后果。[......]
OS Commanding Injection漏洞分析与修复方法
漏洞描述
系统命令执行是指应用程序对传入命令行的参数过滤不严导致恶意用户能控制最终执行的命令,进而入侵系统,导致严重破坏的高危漏洞。[......]
Code Injection漏洞分析与修复方法
漏洞描述
代码注入是指由于服务端代码漏洞导致恶意用户输入在服务端被执行的一种高危安全漏洞。
漏洞危害
利用该漏洞,可以在服务器上执行攻击者拼装的代码。
修复建议
严格检查控制程序的参数。[......]
SQL Inject漏洞分析与修复方法
漏洞描述
SQL注入攻击(SQL Injection),简称注入攻击、SQL注入,被广泛用于非法获取网站控制权,是发生在应用程序的数据库层上的安全漏洞。 在设计不良的程序当中,忽略了对输入字符串中夹带的SQL指令的检查,那么这些夹带进去的指令就会被数据库误认为是正常的SQL指令而运行,从而使数据库受到攻击,可能导致数据被窃取、更改、删除,以及进一步导致网站被嵌入恶意代码、被植入后门程序等危害。[......]
XSS漏洞分析与修复方法
漏洞描述
跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容,使得其他网站用户在观看此网页时,这些代码注入到了用户的浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击,攻击者可窃会话COOKIE从而窃取网站用户的隐私,包括密码。
XSS攻击使用到的技术主要为HTML和Javascript,也包括VBScript和ActionScript等。XSS攻击对WEB服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,从而对网站也产生了较严重的危害。[......]
常见漏洞种类有哪些?
1、XSS漏洞:跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容, 使得其他网站用户在观看此网页时,这些代码注入到了用户的浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击,攻击者可窃会话COOKIE从而窃取网站用户的隐私,包括密码。
XSS攻击使用到[......]
为什么漏洞检测的报告中,有些跨站攻击类型漏洞URL,验证不出来?
跨站攻击类型漏洞URL的触发方式与浏览器环境有紧密关系,建议使用IE6浏览器对漏洞URL进行访问验证。
网页挂马的原理
网页挂马的基本原理是利用了操作系统漏洞、浏览器漏洞、浏览器相关插件的漏洞(比如Flash、adobe acrobat等非常多见)。这些漏洞往往可以造成缓冲区溢出和权限提升,漏洞被利用,就可以执行攻击者设定的任意代码。
xss
恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。[......]