3.1.1 SQL注入漏洞
攻击类型: SQL注入漏洞
测试定性:高危
风险分析:利用该漏洞可探测数据库结构获取数据库敏感信息,还可通过该漏洞获取系统更高权限,对数据带来安全威胁。
加固建议:
(1) 所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击
(2)对进入数据库的特殊字符(\'"\尖括号 &*等)进行转义处理,或编码转换。
(3)严格限制变量类型,比如整型变量就采用intval()函数过滤,数据库中的存储字段必须对应为int型。
(4)数据长度应该严格规定,能在-定程度 上防止比较长的SQL注入语句无法正确执行。
(5)网站每个数据层的编码统- -, 建议全部使用UTF-8编码,上下层编码不- 致有可能导致一些过滤模型被绕过。
(6)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。
(7)避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。
(8)确认配置文件中的字符过滤转义等选项保持开启。
(9)将系统敏感性数据(用户名或密码等)在数据库加密存储。
漏洞参考:
anquan.us/static/bug/wooyun-2016-0179184.html
htp://wwanquan.us/statc/bugs/wooyun2016-0169849.htm1
3.1.2 Struts2命令执行漏洞
攻击类型: Struts2命令 执行漏洞
测试定性:高危
风险分析:恶意攻击者可利用该漏洞执行任意的命令,也可以利用此漏洞在网站中写入-句话木马,进而可接管服务器权限。
加固建议:及时升级struts2到最新版本, 补丁地址: hts://struts.apache .org/download.cgi#struts23281
漏洞参考:
htp://www.anquan.us/static/bugs/wooyun- 2016-0188572.html
htp://ww.anquan.us/statc/bugs/wooyuo-2015-0145153.html1
3.1.3弱口令漏洞
攻击类型:弱口令漏洞
测试定性:中危
风险分析:弱口令非常容易被攻击者猜解或通过弱口令扫描工具扫描到,导致攻击者通过弱口令可轻松登录到系统中,从而进行下一步的攻击。 如上传webshell.获取敏感数据,另外攻击者利用弱口令登录网站管理后台,可任意增删改
等操作,严重情况下可能会造成工控设备的运行异常,从而给工业生产带来巨大损失。
加固建议:增强密码复杂度,建议密码密码不能包含账户名,密码不能包含用户名中超过两个连续字符的部分,密码至少有八个字符长度密码必须包含以下四类字符中的至少三类字符类型:英文大写字母(A-Z)、 英文小写字母(a-z)、1
个基本数字(0-9)、特殊字符(例如: !、¥、#、%)
漏洞参考:
3.1.4系统/服务运维配置不当
攻击类型:系统/服务运维配置不当
测试定性:高
风险分析:系统/服务运维配置不当可以让攻击者获取系统服务器的敏感信息,为下一步渗透测试做准备。若因某些应用程序配置不当或版本过低,攻击者可以利用网上公开的漏洞Exp进行进一步渗透、 提权等。
加固建议:在发布应用程序之前应测试所有系统配置与软件配置,关闭危险端口,积极关注网络安全动态,及时修复漏洞补丁、更新应用程序。
漏洞参考:
3.1.5任意文件上传
攻击类型:任意文件上传
测试定性:高危
风险分析:攻击者可通过此漏洞上传恶意脚本文件控制整个网站或系统,甚至控制服务器。攻击者可上传可执行的WebShell (如php、 jsp. asp类型的木马病毒),webshell脚本具有强大的功能, 比如查看服务器目录、服务器中的文件,执行系统命令等。
加固建议:
(1)文件上传的目录设置为不可执行。只要web容器无法解析该目录下面的文件,即使攻击者上传了脚本文件,服务器本身也不会受到影响。
(2)判断文件类型。在判断文件类型时,可以结合使用MIME Type、后缀检查等方式。在文件类型检查中,强烈推荐白名单方式。
(3)使用随机数改写文件名和文件路径。应用随机数改写了文件名和路径,将极大地增加攻击的成本。
(4)单独设置文件服务器的域名。由于浏览器同源策略的关系,- 系列客户端攻击将失效。
漏洞参考:
3.1.6 java反序列化漏洞
攻击类型: java反序列化漏洞
测试定性:危
风险分析: java反序列化漏洞是-类被厂泛应用的漏洞,绝大多数的编程语言都会提供内建方法使用户可以将自身应用所“生的数据存入硬盘或通过网络传输出去。这种将应用数据转化为其他格式的过程称之为序列化,而将读取序列化数
据的过程
之为反序列化。
当应用代码从受序列据并试图反序列改数据进行下一步处理时会产生反序列化漏洞。
该漏洞在不同的语言环境下会导致多种结果,但最有危害性的,也是之后我们即将讨论的是远程代码注入。该漏洞在WebLogic、WebSphere、 JBoss、 Jenkins、 OpenNMS中都可以使用,实现远程代码执行。
加固建议:升级Apache Commons Collections库到最新版本。
漏洞参考: htp://www.anquan.us/static/bugs/wooyun-2016-0169524.html