- A+
今天微信上一客户收到,某 技术支撑单位 发来的
《网络安全风险防范建议报告和整改建议通知》~
联系我们网站安全加固咨询怎么解决?
我们技术人员看了一下他的文档,总结如下
| 风险情况汇总 | 1、SQL注入攻击1
2、SQL注入攻击2 3、暴力破解 |
| 风险完善建议详情 | |
| SQL注入攻击1 | |
| 通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。其成因可以归结为以下两个原因叠加造成的。第一,程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。第二,未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。该漏洞可导致数据信息泄露,严重可导致服务器被攻击者控制。漏洞产生原因是由于程序开发过程中不注意规范书写SQL语句和对特殊字符进行过滤,导致客户端可以通过可控参数提交一些SQL语句正常执行造成。 | |
| 高危 | |
| /FeedBack/
投诉内容框可注入 |
|
| 攻击者通过该漏洞可导致数据信息泄露,并且登入后台进行篡改数据、删除数据,更进一步提升网站服务器的相应权限。
1、机密数据被窃取 2、核心业务数据被篡改 3、网页被篡改 4、数据库所在服务器被攻击变为傀儡主机,甚至企业网被入侵。 |
|
| 1、联系网站系统开发商对使用参数检查的方式,拦截带有SQL语法的参数传入应用程序。
2、使用预编译的处理方式处理拼接了用户参数的SQL语句。在参数即将进入数据库执行之前,对SQL语句的语义进行完整性检查,确认语义没有发生变化; 3、在出现SQL注入漏洞时,要在出现问题的参数拼接进SQL语句前进行过滤或者校验,不要依赖程序最开始处防护代码; 4、定期审计数据库执行日志,查看是否存在应用程序正常逻辑之外的SQL语句执行。 |
|
| SQL注入攻击2 | |
| 通过在用户可控参数中注入SQL语法,破坏原有SQL结构,达到编写程序时意料之外结果的攻击行为。其成因可以归结为以下两个原因叠加造成的。第一,程序编写者在处理应用程序和数据库交互时,使用字符串拼接的方式构造SQL语句。第二,未对用户可控参数进行足够的过滤便将参数内容拼接进入到SQL语句中。该漏洞可导致数据信息泄露,严重可导致服务器被攻击者控制。漏洞产生原因是由于程序开发过程中不注意规范书写SQL语句和对特殊字符进行过滤,导致客户端可以通过可控参数提交一些SQL语句正常执行造成。 | |
| 高危 | |
| /zwzx/
咨询内容框可注入 |
|
| 构造SQL语句,暴力猜解用户名密码等信息
同理得出用户名密码密文6c250fd5b170737f |
|
| 风险危害 | 攻击者通过该漏洞可导致数据信息泄露,并且登入后台进行篡改数据、删除数据,更进一步提升网站服务器的相应权限。
1、机密数据被窃取 2、核心业务数据被篡改 3、网页被篡改 4、数据库所在服务器被攻击变为傀儡主机,甚至企业网被入侵。 |
| 整改建议 | 1、联系网站系统开发商对使用参数检查的方式,拦截带有SQL语法的参数传入应用程序。
2、使用预编译的处理方式处理拼接了用户参数的SQL语句。在参数即将进入数据库执行之前,对SQL语句的语义进行完整性检查,确认语义没有发生变化; 3、在出现SQL注入漏洞时,要在出现问题的参数拼接进SQL语句前进行过滤或者校验,不要依赖程序最开始处防护代码; 4、定期审计数据库执行日志,查看是否存在应用程序正常逻辑之外的SQL语句执行。 |
| 风险类型(三) | 暴力破解 |
| 风险描述 | 因为服务器端没有做限制,导致攻击者可以通过暴力破解的手段破解用户所需要的信息,如用户名、密码、验证码等。 |
| 风险级别 | 中危 |
| 风险利用点 | /check/admin/ |
| 验证截图 | |
| 风险危害 | 成功利用此漏洞,可以获取用户名等信息,有利于进一步攻击。 |
| 整改建议 | 1、建议增加验证码
2、登陆次数失败过多的情况下锁定账号或ip等一系列手段。 |
对于缺乏专业维护人员的网站,建议向 360° 网站安全加固 咨询,我们竭诚为您服务
下面有联系方式,QQ,微信,您可以随时咨询,我们为您排忧解难
- 微信 wzgj360
- 联系免费答疑
-
- QQ 613049615
- 联系免费答疑
-
