安全扫描五项简介_cve-2015-9251,2024年最新通宵都要看完这个网络安全关键技术点
渗透性测试来检验目标系统安全性,通过实施针对性的渗透测试,发现目标系统中的安全漏洞,在安全事件发生前发现安全漏洞,防患于未然,最大程度减少系统遭受黑客攻击的可能。同时为安全加固提供依据,提升业务系统安全和稳定运行。
1.测试目的
通过进行渗透测试发现系统的固有安全漏洞,在安全事件发生前解决信息安全问题,最大程度的保障了信息系统安全,达到如下工作目标:
(1)掌握系统的安全现状和面临的主要安全风险;
(2)明确系统面对的主要风险并分析这些风险产生的原因;
(3)在分析风险原因的基础上为系统的运行、维护、使用和改进提供安全性建议。
用户枚举****漏洞
漏洞描述
存在于系统登录页面,利用登陆时输入系统存在的用户名错误密码和不存在的用户名错误密码,返回不同的出错信息可枚举出系统中存在的账号信息。
修复建议
1)将登录失败的返回包统一定义为“用户名或密码错误”;
2)增加校验机制,如:采用具有失效机制的验证码。
点击劫持****漏洞
漏洞描述
JSON(JavaScript Object Notation) 是一种轻量级的数据交换格式。被用于各大网站中,如果这种交互的方式用来传递敏感的数据,并且传输的时候没有做太多安全性控制的话将导致安全漏洞。
修复建议
修改web服务器配置,添加X-frame-options响应头。
赋值有如下三种:
(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM URL:只能被嵌入到指定域名的框架中。
XSS****漏洞
漏洞描述
跨站脚本(Cross Site Scripting)攻击是指在远程WEB页面的HTML代码中手插入恶意的JavaScript、VBScript、ActiveX、HTML或Flash等脚本,窃取浏览此页面的用户的隐私,改变用户的设置,破坏用户的数据。跨站脚本攻击在
修复建议
1、检测并过滤输入的特殊字符,如: (尖括号)、”(引号)、’(单引号)、%(百分比符号)、;(分号)、 ()(括号)、&(& 符号)、+(加号)
(注意在过滤某些特殊字符时判断是否对业务有影响)
2、针对输出数据具体的上下文语境进行针对性的编码
3、为cookie设置Httponly属性
建议对客户端提交的数据进行过滤处理,对输出做编码处理,编码成html实体输出。建议过滤所有以下字符:
[1] |(竖线符号)
[2] & (& 符号)
[3];(分号)
[4] $(美元符号)
[5] %(百分比符号)
[6] @(at 符号)
[7] ‘ÿ
