热门标签
热门文章
- 1Feign + Ribbon + hystrix 设置超时时间,解决接口调用Socket read time out_socket read time out解决方法
- 2win 10 fastboot 无法连接设备_fastboot连接不上电脑
- 3接口中NullPointerException异常的原因及解决方法
- 4[AI视频-suno-V3音乐-AI绘画-AI文本生成-配音]
- 5边界值分析法
- 6【Mastering OpenCV with Practical CV Projects 之一】全文回顾
- 7机器学习的核心算法 - CNN的原理探讨
- 8Hi3861编译烧录更快捷_hi3861 sdk
- 9Android Flutter配置及出现的问题解决_模块没有源根配置
- 10电脑服务器离线安装.net framework 3.5解决方案(错误:0x8024402c )(如何确定当前系统是否安装NET Framework 3.5)
当前位置: article > 正文
公网Web应用系统安全问题_web 在公网,数据库在私网
作者:小丑西瓜9 | 2024-03-31 10:41:32
赞
踩
web 在公网,数据库在私网
1. 常见攻击行为
1.1.端口扫描
演示端口扫描工具nmap
1.2.暴力破解
典型场景:
弱口令
1.3.拒绝服务
DoS:
Denial of Service Attack
DDoS:
Distributed Denial of Service Attack
检测本机网络连接状态:
netstat -n |
awk '/^tcp/ {++S[$NF]} END {for(a in S) print a, S[a]}'
1.4.CSRF和报文仿冒
CSRF:Cross-Site Request Forgery,跨站请求伪造。
报文仿冒:
截取传输报文,以合法用户发起业务攻击请求。
1.5.跨站脚本攻击XSS
XSS:Cross-Site Scripting,是最常见的web应用程序安全漏洞之一。
1.6.代码注入
典型 代表:
SQL注入(
SQL injection)
2.系统安全事件回顾
2.1.案例1
公众号案例发生
跨站伪造请求
,攻击者于多日凌
晨2点左右发起报文仿冒,仿造微信支付成功后的通知消息,发到微信
服务网关,力图跳过支付环节进行HIS交易。
2.3.案例3
系统用户频繁登录。
具体表现为在任务管理器的“
用户
”标签页中有N多已登录用户,
造成系统资源的紧张
。
应对:
使用堡垒机。
2.4.案例4
SQL注入。
安全漏洞检测发现,在问卷提交请求报文中发现存在
SQL注入(
MSQL字符型显错式注入
)问题,攻击者可以获取系统超级
管理员密码,可以查看到用户表的记录数量。
3.常用防范手段
技术方面:
3.1.减轻DoS攻击带来的灾害:网络流控
3.2.避免SQL注入:使用预编译语句,如果实在需要使用SQL拼接,
那必须做关键字过滤。
相关学习资源:
数据库预编译为什么能防止SQL注入呢?
https://blog.csdn.net/weixin_45179130/article/details/90761966
Sql注入详解及防范方法
https://blog.csdn.net/wodetian1225/article/details/82351752
3.3.XSS攻击:过滤js的关键字和<script>标签,或者对<、>等符号进行转义
3.4.报文加密:MD5,AES,RSA
3.5.传输安全:HTTPS(安全证书)
3.6.访问控制:对外仅仅开放必要的服务端口
3.7.端口修改:常见端口的修改,在一定程度上误导攻击者
3.8.交易防重入:代码安全控制
3.9.减少攻击漏洞:例如去掉Tomcat的默认主页
3.10.数据脱敏。
3.11.服务器使用linux系统
3.12.js代码重定义控制台方法:例如:console.log=null
运维方面:
3.13.重视系统安全,形成必要的防范理念
3.14.在项目实施过程中保持安全意识,并能提醒客户注意安全事项
3.15.操作系统防火墙不能轻易关闭(设置例外策略),减少U盘的使用
3.16.确保安装防火墙软件
3.17.禁止服务器弱口令,禁止直接使用root用户
3.18.禁止数据库弱口令,禁止直接使用root用户
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小丑西瓜9/article/detail/344369
推荐阅读
相关标签
