方式一 : 弱口令
弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123456”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。
加固建议: 1、使用手机验证码登录 ,2设置一个账户锁定次数,比如超过3次 输入错误 该账号自动锁住
方式二: 未授权访问
某些数据接口在没登陆的时候 可以直接访问 获取数据
加固建议: 1每个请求都判断是否有访问权限,如果没有 就重定向到其他页面。
方式三 : 任意文件下载
尽量不用使用暴漏文件名称的方式 访问文件,这样会泄露文件地址,以及其他文件可能暴漏的风险
加固建议: 尽量用接口形式 ,流下载访问。 , 或者传加密文件名等参数,通过接口调用
方式四 : 任意文件上传
任意文件上传可能会导致,黑客会给服务器上传一些可执行文件等
加固建议: 对每个文件 进行严格校验,避免非法文件上传
方式五: Xss跨站脚本攻击 - 存储型
XSS的攻击方式就是想办法“教唆”用户的浏览器去执行一些这个网页中原本不存在的前端代码
Xss(映射型) 将脚本在放在url请求中, 将链接通过邮箱等手段 发送给目标用户, 只要点击就会触发xss攻击
Xss(储存型) 将脚本放在文本框保存到数据库中。 每当有人访问 就会触发xss
加固建议:禁止特殊字符, 转义等 , 设置cookie 为 httpOnly
方式六:CSRF漏洞
CSRF(Cross-site request forgery)跨站请求伪造,攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等
加固建议: 为每个请求添加一个唯一编号来验证本次请求
标签:文件,网页,请求,渗透,上传,口令,访问,加固,方法 From: https://www.cnblogs.com/lccsdncnblogs/p/17446444.html