首页 > 其他分享 >网页常见的渗透方法以及解决方法

网页常见的渗透方法以及解决方法

时间:2023-05-31 16:11:44浏览次数:32  
标签:文件 网页 请求 渗透 上传 口令 访问 加固 方法

方式一 : 弱口令
弱口令(weak password) 没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123456”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。

加固建议: 1、使用手机验证码登录 ,2设置一个账户锁定次数,比如超过3次 输入错误 该账号自动锁住


方式二: 未授权访问
某些数据接口在没登陆的时候 可以直接访问 获取数据

加固建议: 1每个请求都判断是否有访问权限,如果没有 就重定向到其他页面。


方式三 : 任意文件下载
尽量不用使用暴漏文件名称的方式 访问文件,这样会泄露文件地址,以及其他文件可能暴漏的风险

加固建议: 尽量用接口形式 ,流下载访问。 , 或者传加密文件名等参数,通过接口调用


方式四 : 任意文件上传
任意文件上传可能会导致,黑客会给服务器上传一些可执行文件等

加固建议: 对每个文件 进行严格校验,避免非法文件上传

 

方式五: Xss跨站脚本攻击 - 存储型
XSS的攻击方式就是想办法“教唆”用户的浏览器去执行一些这个网页中原本不存在的前端代码
Xss(映射型) 将脚本在放在url请求中, 将链接通过邮箱等手段 发送给目标用户, 只要点击就会触发xss攻击
Xss(储存型) 将脚本放在文本框保存到数据库中。 每当有人访问 就会触发xss

加固建议:禁止特殊字符, 转义等 , 设置cookie 为 httpOnly

 

方式六:CSRF漏洞

CSRF(Cross-site request forgery)跨站请求伪造,攻击者盗用了你的身份,以你的名义发送恶意请求,对服务器来说这个请求是完全合法的,但是却完成了攻击者所期望的一个操作,比如以你的名义发送邮件、发消息,盗取你的账号,添加系统管理员,甚至于购买商品、虚拟货币转账等

加固建议: 为每个请求添加一个唯一编号来验证本次请求

标签:文件,网页,请求,渗透,上传,口令,访问,加固,方法
From: https://www.cnblogs.com/lccsdncnblogs/p/17446444.html

相关文章

  • QA|外部调用类方法总报错missing 1 required positional argument:'self'|UI自动化
    外部调用类方法总报错missing1requiredpositionalargument:'self' 原因:实例化这个类实例化错了,少了括号()解决:改成如下就可以了 参考学习:调用类方法时报错:missing1requiredpositionalargument:'self'-hehehe_wy7-博客园(cnblogs.com) ......
  • 列举某域名下所有二级域名的方法
    这里介绍三种列举某域名下所有二级域名的方法1、命令行下列举此方法好像是hoky很久以前写的,不过原文步骤有点乱,我又重新整理了一下,以我们小组的站为例C:\DocumentsandSettings\鬼仔>nslookup***Can'tfindservernameforaddress202.102.224.68:Serverfailed***Can'tfi......
  • 运算方法与运算器
    2.1真值:正负符号+二进制的绝对值机器数:0/1+二进制的绝对值正:0  负:12.2数的机器码表示正数:原码=反码=补码负数:原码--符号位不变,其余位取反-->反码--+1-->补码移码:将补码的符号位取反纯小数原码表示: 注意:原码的0有两种表示方式;使用补码,符号位可参与运算纯小数补码......
  • linux获取程序当前所在路径的方法
    直接使用pwd不行,linux系统中有个符号链接:/proc/self/exe 它代表当前程序,我们可以用readlink读取它的源路径就可以获取当前程序的绝对路径。charcurrent_absolute_path[MAX_SIZE];//获取当前程序绝对路径intcnt=readlink("/proc/self/exe",current_absolute_path,MAX_SIZ......
  • Linux内核调试方法
    内核配置选项中要使能CONFIG_MAGIC_SYSRQ选项,这样系统启动之后,会生成/proc/sysrq-trigger节点用于调试。其次,可以在/etc/sysctl.conf中设置kernel.sysrq=1默认使能sysq功能。也可以通过写/proc/sys/kernel/sysrq节点动态使能sysrq功能。写入不同的值使能不同的功能:0-disa......
  • 白盒测试方法
    语句覆盖,判定覆盖,条件覆盖=分支覆盖,条件/判定覆盖,(条件)组合覆盖,路径覆盖,MC/DC覆盖语句覆盖,判定覆盖,条件覆盖=分支覆盖,条件/判定覆盖,(条件)组合覆盖,路径覆盖参考:https://blog.csdn.net/qq_38712932/article/details/83818589MC/DC覆盖修正判定条件覆盖(ModifiedCondition/De......
  • DNS Tunnel判定方法
    DNSTunnel判定方法:1、查询DNS请求的域名是否存在备案; 2、查询DNS请求的域名情报信息(以及域名的alex排名); 3、查看相同主域名下子域名编码格式及长度;(存在Base32和Base64编码且较长需要多加关注,同时xshellghostdnstunnel关注下) 4、利用浏览器做实际登陆尝试(是否正常打开......
  • 10.UG钣金使用方法详解
    1.创建钣金件或者拉伸后转换为钣金2.    ......
  • 基于第三代测序数据的基因组结构变异检测方法研究
    基于第三代测序数据的基因组结构变异检测方法研究姜涛哈尔滨工业大学摘要:随着测序技术的不断成熟和广泛应用,以测序技术为驱动的基因组、转录组等多组学的研究得到了跨越式发展,推动了基因组科学、遗传学、临床医学等多学科的变革。基因组变异检测作为基因组研究中最为核心......
  • 第三代DNA测序数据压缩方法研究
    第三代DNA测序数据压缩方法研究崔浩翔深圳大学摘要:第三代测序技术自问世以来在临床分子诊断中扮演着越来越重要的角色,尤其在基因组测序、甲基化研究、突变鉴定(SNP检测)等方面。测序技术的不断发展使得测序成本逐年下降,测序数据量急剧增加,如何存储和传输庞大的测序数据是......