网络安全常见漏洞类型总结

网络安全常见漏洞类型总结

1、弱口令

原因： 与个人习惯和安全意识相关，为了避免忘记密码，使用一个非常容易记住的密码，或者是直接采用系统的默认密码等。
危害： 通过弱口令，攻击者可以进入后台修改资料，进入金融系统盗取钱财，进入OA系统可以获取企业内部资料，进入监控系统可以进行实时监控等。
防御：
设置密码通常遵循以下原则：
（1）不使用空口令或系统缺省的口令；
（2）口令长度不小于8 个字符；
（3）口令不应该为连续的某个字符或重复某些字符的组合。
（4）口令应该为以下四类字符的组合：大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个，那么该字符不应为首字符或尾字符。
（5）口令中不应包含特殊内容：如本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail 地址等等与本人有关的信息，以及字典中的单词。
（6）口令不应该为用数字或符号代替某些字母的单词。
（7）口令应该易记且可以快速输入，防止他人从你身后看到你的输入。
（8）至少90天内更换一次口令，防止未被发现的入侵者继续使用该口令。

2、SQL注入

原因： 当Web应用向后台数据库传递SQL语句进行数据库操作时，如果对用户输入的参数没有经过严格的过滤处理，那么攻击者就可以构造特殊的SQL语句，直接输入数据库引擎执行，获取或修改数据库中的数据。SQL注入的两个关键点：1、用户能控制输入的内容；2、Web应用把用户输入的内容带入到数据库中执行。
危害： 盗取网站的敏感信息、绕过网站后台认证、借助SQL注入获取系统权限。
防御：
（1）采用sql语句预编译和绑定变量 #{name}；
（2）使用正则表达式过滤传入的参数；
（3）过滤字符串，