˵Æð²Ù×÷ϵͳ©¶´£¬ÏàÐÅÎÒÃǺܶàÅóÓѶ¼Ìý˵¹ý£¬µ«ÊÇÒªÏêϸµÄÎÊÄã²Ù×÷ϵͳ©¶´ÀàÐÍÓÐÄÄЩ?Á˽âÍøÂ簲ȫ³£Ê¶£¬Ê×ÏȾÍÒªÁ˽â¼ÆËã»úÍøÂ簲ȫÓÐÄÄЩ»ù±¾×¢ÒâÊÂÏÏÂÃæƯÁÁÅ®È˽ÖС±à¾Í´øÄúÈÏʶһÏ°ɡ£ Ò»¡¢SQL×¢È멶´ SQL×¢Èë¹¥»÷(SQL Injection)£¬¼ò³Æ×¢Èë¹¥»÷¡¢SQL×¢È룬±»¹ã·ºÓÃÓÚ·Ç·¨»ñÈ¡ÍøÕ¾¿ØÖÆȨ£¬ÊÇ·¢ÉúÔÚÓ¦ÓóÌÐòµÄÊý¾Ý¿â²ãÉϵݲȫ©¶´¡£ÔÚÉè¼Æ³ÌÐò£¬ºöÂÔÁ˶ÔÊäÈë×Ö·û´®ÖмдøµÄSQLÖ¸ÁîµÄ¼ì²é£¬±»Êý¾Ý¿âÎóÈÏΪÊÇÕý³£µÄSQLÖ¸Áî¶øÔËÐУ¬´Ó¶øʹÊý¾Ý¿âÊܵ½¹¥»÷£¬¿ÉÄܵ¼ÖÂÊý¾Ý±»ÇÔÈ¡¡¢¸ü¸Ä¡¢É¾³ý£¬ÒÔ¼°½øÒ»²½µ¼ÖÂÍøÕ¾±»Ç¶Èë¶ñÒâ´úÂë¡¢±»Ö²ÈëºóÃųÌÐòµÈΣº¦¡£ ¶þ¡¢¿çÕ¾½Å±¾Â©¶´ ¿çÕ¾½Å±¾¹¥»÷(Cross-site scripting£¬Í¨³£¼ò³ÆΪXSS)·¢ÉúÔÚ¿Í»§¶Ë£¬¿É±»ÓÃÓÚ½øÐÐÇÔÈ¡Òþ˽¡¢µöÓãÆÛÆ¡¢ÇÔÈ¡ÃÜÂë¡¢´«²¥¶ñÒâ´úÂëµÈ¹¥»÷¡£ XSS¹¥»÷ʹÓõ½µÄ¼¼ÊõÖ÷ҪΪHTMLºÍJavascript£¬Ò²°üÀ¨VBScriptºÍActionScriptµÈ¡£XSS¹¥»÷¶ÔWEB·þÎñÆ÷ËäÎÞÖ±½ÓΣº¦£¬µ«ÊÇËü½èÖúÍøÕ¾½øÐд«²¥£¬Ê¹ÍøÕ¾µÄʹÓÃÓû§Êܵ½¹¥»÷£¬µ¼ÖÂÍøÕ¾Óû§Õʺű»ÇÔÈ¡£¬´Ó¶ø¶ÔÍøÕ¾Ò²²úÉúÁ˽ÏÑÏÖصÄΣº¦¡£ Èý¡¢Èõ¿ÚÁ´ Èõ¿ÚÁî(weak password) ûÓÐÑϸñºÍ׼ȷµÄ¶¨Ò壬ͨ³£ÈÏΪÈÝÒ×±»±ðÈË(ËûÃÇÓпÉÄܶÔÄãºÜÁ˽â)²Â²âµ½»ò±»Æƽ⹤¾ßÆƽâµÄ¿ÚÁî¾ùΪÈõ¿ÚÁî¡£ÉèÖÃÃÜÂëͨ³£×ñÑÒÔÏÂÔÔò£º (1)²»Ê¹ÓÿտÚÁî»òϵͳȱʡµÄ¿ÚÁÕâЩ¿ÚÁîÖÚËùÖÜÖ®£¬ÎªµäÐ͵ÄÈõ¿ÚÁî¡£ (2)¿ÚÁ¶È²»Ð¡ÓÚ8¸ö×Ö·û¡£ (3)¿ÚÁî²»Ó¦¸ÃΪÁ¬ÐøµÄij¸ö×Ö·û(ÀýÈ磺AAAAAAAA)»òÖظ´Ä³Ð©×Ö·ûµÄ×éºÏ(ÀýÈ磺tzf.tzf.)¡£ (4)¿ÚÁîÓ¦¸ÃΪÒÔÏÂËÄÀà×Ö·ûµÄ×éºÏ£¬´óд×Öĸ(A-Z)¡¢Ð¡Ð´×Öĸ(a-z)¡¢Êý×Ö(0-9)ºÍÌØÊâ×Ö·û¡£Ã¿Àà×Ö·ûÖÁÉÙ°üº¬Ò»¸ö¡£Èç¹ûijÀà×Ö·ûÖ»°üº¬Ò»¸ö£¬ÄÇô¸Ã×Ö·û²»Ó¦ÎªÊ××Ö·û»òβ×Ö·û¡£ (5)¿ÚÁîÖв»Ó¦°üº¬±¾ÈË¡¢¸¸Ä¸¡¢×ÓÅ®ºÍÅäżµÄÐÕÃûºÍ³öÉúÈÕÆÚ¡¢¼ÍÄîÈÕÆÚ¡¢µÇ¼Ãû¡¢E-mailµØÖ·µÈµÈÓë±¾ÈËÓйصÄÐÅÏ¢£¬ÒÔ¼°×ÖµäÖеĵ¥´Ê¡£ (6)¿ÚÁî²»Ó¦¸ÃΪÓÃÊý×Ö»ò·ûºÅ´úÌæijЩ×ÖĸµÄµ¥´Ê¡£ (7)¿ÚÁîÓ¦¸ÃÒ×¼ÇÇÒ¿ÉÒÔ¿ìËÙÊäÈ룬·ÀÖ¹ËûÈË´ÓÄãÉíºóºÜÈÝÒ׿´µ½ÄãµÄÊäÈë¡£ (8)ÖÁÉÙ90ÌìÄÚ¸ü»»Ò»´Î¿ÚÁ·Àֹδ±»·¢ÏÖµÄÈëÇÖÕß¼ÌÐøʹÓøÿÚÁî¡£ ËÄ¡¢HTTP±¨Í·×·×Ù©¶´ HTTP/1.1(RFC2616)¹æ·¶¶¨ÒåÁËHTTP TRACE·½·¨£¬Ö÷ÒªÊÇÓÃÓÚ¿Í»§¶Ëͨ¹ýÏòWeb·þÎñÆ÷Ìá½»TRACEÇëÇóÀ´½øÐвâÊÔ»ò»ñµÃÕï¶ÏÐÅÏ¢¡£µ±Web·þÎñÆ÷ÆôÓÃTRACEʱ£¬Ìá½»µÄÇëÇóÍ·»áÔÚ·þÎñÆ÷ÏìÓ¦µÄÄÚÈÝ(Body)ÖÐÍêÕûµÄ·µ»Ø£¬ÆäÖÐHTTPÍ·ºÜ¿ÉÄÜ°üÀ¨Session Token¡¢Cookies»òÆäËüÈÏÖ¤ÐÅÏ¢¡£¹¥»÷Õß¿ÉÒÔÀûÓôË©¶´À´ÆÛƺϷ¨Óû§²¢µÃµ½ËûÃǵÄ˽ÈËÐÅÏ¢¡£¸Ã©¶´ÍùÍùÓëÆäËü·½Ê½ÅäºÏÀ´½øÐÐÓÐЧ¹¥»÷£¬ÓÉÓÚHTTP TRACEÇëÇó¿ÉÒÔͨ¹ý¿Í»§ä¯ÀÀÆ÷½Å±¾·¢Æð(ÈçXMLHttpRequest)£¬²¢¿ÉÒÔͨ¹ýDOM½Ó¿ÚÀ´·ÃÎÊ£¬Òò´ËºÜÈÝÒ×±»¹¥»÷ÕßÀûÓᣠÎå¡¢Struts2Ô¶³ÌÃüÁîÖ´ÐЩ¶´ Apache StrutsÊÇÒ»¿î½¨Á¢Java webÓ¦ÓóÌÐòµÄ¿ª·ÅÔ´´úÂë¼Ü¹¹¡£Apache Struts´æÔÚÒ»¸öÊäÈë¹ýÂË´íÎó£¬Èç¹ûÓöµ½×ª»»´íÎó¿É±»ÀûÓÃ×¢ÈëºÍÖ´ÐÐÈÎÒâJava´úÂë¡£ ÍøÕ¾´æÔÚÔ¶³Ì´úÂëÖ´ÐЩ¶´µÄ´ó²¿·ÖÔÒòÊÇÓÉÓÚÍøÕ¾²ÉÓÃÁËApache Struts Xwork×÷ΪÍøÕ¾Ó¦Óÿò¼Ü£¬ÓÉÓÚ¸ÃÈí¼þ´æÔÚÔ¶³Ì´úÂëÖ´¸ßΣ©¶´£¬µ¼ÖÂÍøÕ¾ÃæÁÙ°²È«·çÏÕ¡£CNVD´¦ÖùýÖî¶à´ËÀ੶´£¬ÀýÈ磺¡°GPS³µÔØÎÀÐǶ¨Î»ÏµÍ³¡±ÍøÕ¾´æÔÚÔ¶³ÌÃüÁîÖ´ÐЩ¶´(CNVD-2012-13934);AspcmsÁôÑÔ±¾Ô¶³Ì´úÂëÖ´ÐЩ¶´(CNVD-2012-11590)µÈ¡£ Áù¡¢¿ò¼ÜµöÓ㩶´(¿ò¼Ü×¢È멶´) ¿ò¼Ü×¢Èë¹¥»÷ÊÇÕë¶ÔInternet Explorer 5¡¢Internet Explorer 6¡¢Óë Internet Explorer 7¹¥»÷µÄÒ»ÖÖ¡£ÕâÖÖ¹¥»÷µ¼ÖÂInternet Explorer²»¼ì²é½á¹û¿ò¼ÜµÄÄ¿µÄÍøÕ¾£¬Òò¶øÔÊÐíÈÎÒâ´úÂëÏñJavascript»òÕßVBScript¿ç¿ò¼Ü´æÈ¡¡£ÕâÖÖ¹¥»÷Ò²·¢ÉúÔÚ´úÂë͸¹ý¶à¿ò¼Ü×¢È룬ÕØÒòÓڽű¾²¢²»È·ÈÏÀ´×Ô¶à¿ò¼ÜµÄÊäÈë¡£ÕâÖÖÆäËûÐÎʽµÄ¿ò¼Ü×¢Èë»áÓ°ÏìËùÓеIJ»È·Èϲ»ÊÜÐÅÈÎÊäÈëµÄ¸÷³§ÉÌä¯ÀÀÆ÷ºÍ½Å±¾¡£ Æß¡¢ÎļþÉÏ´«Â©¶´ ÎļþÉÏ´«Â©¶´Í¨³£ÓÉÓÚÍøÒ³´úÂëÖеÄÎļþÉÏ´«Â·¾¶±äÁ¿¹ýÂ˲»ÑÏÔì³ÉµÄ£¬Èç¹ûÎļþÉÏ´«¹¦ÄÜʵÏÖ´úÂëûÓÐÑϸñÏÞÖÆÓû§ÉÏ´«µÄÎļþºó׺ÒÔ¼°ÎļþÀàÐÍ£¬¹¥»÷Õß¿Éͨ¹ý Web ·ÃÎʵÄĿ¼ÉÏ´«ÈÎÒâÎļþ£¬°üÀ¨ÍøÕ¾ºóÃÅÎļþ(webshell)£¬½ø¶øÔ¶³Ì¿ØÖÆÍøÕ¾·þÎñÆ÷¡£ Òò´Ë£¬ÔÚ¿ª·¢ÍøÕ¾¼°Ó¦ÓóÌÐò¹ý³ÌÖУ¬ÐèÑϸñÏÞÖƺÍУÑéÉÏ´«µÄÎļþ£¬½ûÖ¹ÉÏ´«¶ñÒâ´úÂëµÄÎļþ¡£Í¬Ê±ÏÞÖÆÏà¹ØĿ¼µÄÖ´ÐÐȨÏÞ£¬·À·¶webshell¹¥»÷¡£ °Ë¡¢Ó¦ÓóÌÐò²âÊԽű¾Ð¹Â¶ ÓÉÓÚ²âÊԽű¾¶ÔÌá½»µÄ²ÎÊýÊý¾ÝȱÉÙ³ä·Ö¹ýÂË£¬Ô¶³Ì¹¥»÷Õß¿ÉÒÔÀûÓö´ÒÔWEB½ø³ÌȨÏÞÔÚϵͳÉϲ鿴ÈÎÒâÎļþÄÚÈÝ¡£·ÀÓù´ËÀ੶´Í¨³£ÐèÑϸñ¹ýÂËÌá½»µÄÊý¾Ý£¬ÓÐЧ¼ì²â¹¥»÷¡£ ¾Å¡¢Ë½ÓÐIPµØַ鶩¶´ IPµØÖ·ÊÇÍøÂçÓû§µÄÖØÒª±êʾ£¬Êǹ¥»÷Õß½øÐй¥»÷Ç°ÐèÒªÁ˽âµÄ¡£»ñÈ¡µÄ·½·¨½Ï¶à£¬¹¥»÷ÕßÒ²»áÒò²»Í¬µÄÍøÂçÇé¿ö²ÉÈ¡²»Í¬µÄ·½·¨£¬È磺ÔÚ¾ÖÓòÍøÄÚʹÓÃPingÖ¸ÁPing¶Ô·½ÔÚÍøÂçÖеÄÃû³Æ¶ø»ñµÃIP;ÔÚInternetÉÏʹÓÃIP°æµÄQQÖ±½ÓÏÔʾ¡£×îÓÐЧµÄ°ì·¨Êǽػñ²¢·ÖÎö¶Ô·½µÄÍøÂçÊý¾Ý°ü¡£¹¥»÷Õß¿ÉÒÔÕÒµ½²¢Ö±½Óͨ¹ýÈí¼þ½âÎö½Ø»ñºóµÄÊý¾Ý°üµÄIP°üÍ·ÐÅÏ¢£¬ÔÙ¸ù¾ÝÕâЩÐÅÏ¢Á˽â¾ßÌåµÄIP¡£ ¹ØÓÚÍøÂ簲ȫС֪ʶ£¬Æ¯ÁÁÅ®È˽ÖС±àΪÄú½éÉܺÍÆÕ¼°Õâô¶àÁË£¬¿´ÍêÉÏÃæµÄ½éÉÜ£¬Äú¶Ô¡°²Ù×÷ϵͳ©¶´ÀàÐÍÓÐÄÄЩ¡±Õâ¸öÎÊÌâÁ˽â¶àÉÙÁËÄØ?ÎÒÃÇ¿ÉÒÔ¿´µ½²Ù×÷ϵͳ´óÌåÉϾͷÖΪ¼¸´óÀ࣬ËùÒÔÔÚÎÒÃÇÈÕ³£Éú»îÖÐÒ²ÒªÁôÒâ¹Û²ìÕâЩÇé¿ö¡£ |
"С±àÕûÀí²»Ò×£¬Ð¡ÀñÎï×ßÒ»×ߣ¬Íò·Ö¸Ðл£¡"
ÔÞÉÍ
Õæ³ÏÔÞÉÍ£¬ÊÖÁôÓàÏã
Ïà¹Ø×ÊѶ
- ÈçºÎ·ÀÖÎÆ»¹ûÊ÷ÉϵĵõË¿³æ
- ´º¼¾Æ»¹ûÊ÷µÄÖ÷Òª²¡º¦ÓÐÆ»¹û°×·Û² ¢¸ù¸¯² ¢ºÖ°ß² ¢¸¯Àò¡µÈ£¬Ö÷Òª³æº¦ÓÐÒ¶òýÀà¡¢ÑÁ³æ¡¢½é¿Ç³æ¡¢½ðÎÆϸ¶ð¡¢¾íÒ¶¶êºÍ½ð¹ê×ӵȡ£¹ûÊ÷´ÖÇÌƤ³£Òþ²Ø¶àÖÖ²¡º¦£¬ÈçÒ¶ÐÇë³æ¡¢òýÀà¡¢¸¯Àò ¢µõË¿³æµÈ¡£ÔÚ½áÊø¶¬¼ô¹¤×÷ºó£¬Ó¦¼
- ¹²Ïí³µÈí¼þÔõÑù·ÀÖ¹ÐÅϢй¶
- ÔÚ³ÇÊн»Í¨Ô½À´Ô½Óµ¶ÂµÄ½ñ£¬,¹²Ïíµ¥³µÊܵ½Ô½À´Ô½¶àµÄ¹Ø×¢¡£ÄÇô£¬¹²Ïí³µÈí¼þÔõÑù·ÀÖ¹ÐÅϢй¶ÄÇ£¿¾ÍÈÃƯÁÁÅ®È˽ֵÄС±àºÍÄãÒ»ÆðÈ¥Á˽âһϰɣ¡¹²Ïí³µÈí¼þ·ÀÖ¹ÐÅϢй¶´ëÊ©£ºÄ¿Ç°ÎªÖ¹£¬¹²Ïíµ¥³µµÄÓû§ÊýÁ¿³¬¹ýÁË1ÒÚÈË
- ·çÔÖ»áÓ°Ï캣²úÑøÖ³Âð
- ´ó¼Ò¶¼ÖªµÀÑغ£µØÇøÓÉÓÚÆøºòºÍµØÐεÄÓ°Ï죬ºÜÈÝÒ׳öÏÖ·çÔÖ¡£ÕâÖÖÔÖº¦Ò»µ©³öÏÖÖ®ºó£¬²»Ì«»á¶Ô½¨ÖþÎïÖ²ÎïÓкܶàÓ°Ï죬¶øÇÒ»¹»á¶ÔÑغ£µØÇøµÄ¾¼Ã×÷ÎïÓзdz£´óµÄΣº¦£¬·çÔÖ»áÓ°Ï캣²úÑøÖ³Âð?´ð°¸µ±È»Êǿ϶¨µÄ£¬ÏÂÃæƯÁÁ
- ÍøÂ粡¶¾µÄ±ØÈ»ÐÔÊÇʲô
- Ëæ×ÅÍøÂç¼¼ÊõµÄ·ÉËÙ·¢Õ¹£¬ÐÅÏ¢»¯µÄ³Ì¶ÈÔ½À´Ô½¸ß£¬ÍøÂ簲ȫÒѾ³ÉΪ¼ÆËã»úÁìÓòËù¹Ø×¢µÄ½¹µã¡£ÄÇô£¬ÍøÂ粡¶¾µÄ±ØÈ»ÐÔÊÇʲôÄÇ£¿¾ÍÈÃƯÁÁÅ®È˽ֵÄС±àºÍÄãÒ»ÆðÈ¥Á˽âһϰɣ¡ÍøÂ粡¶¾µÄ±ØÈ»ÐÔ£º¼ÆËã»úµÄÐÅÏ¢ÐèÒª´æÈ ¢¸
- ¸ôÈÈ·þÕæÄܸôÈÈÂð
- ¸ôÈÈ·þ×÷ΪÀͶ¯·À»¤ÓÃÆ·Ö®Ò»£¬¶Ô×÷ÒµÈËÔ±µÄÉúÃü°²È«ÆðמÙ×ãÇáÖصÄ×÷Óá£ÄÇô£¬¸ôÈÈ·þÕæÄܸôÈÈÂ𣿾ÍÈÃƯÁÁÅ®È˽ֵÄС±àºÍÄãÒ»ÆðÈ¥Á˽âһϰɣ¡¸ôÈÈ·þÕæÄܸôÈÈ£¬ÊÇÖØÒªµÄ¸öÌå·À»¤×°±¸£¬Ò²½ÐÈÈ·À»¤·þ¡£¸ôÈÈ·þÊÇÖ¸ÔÚ½Ó
- ¿ØÖÆ»ÈÔֵĴëÊ©ÓÐÄÄЩ
- »ÆºÓÈý½ÇÖÞÌØÊâµÄµØÀíÌõ¼þ¾ö¶¨ÁËËüÔÚÀúÊ·ÉϾÍÊÇ»ÈÔÖµÄÖØÔÖÇø£¬ÌرðÊÇ·¢ÉúºµÔÖµÄÄê·Ý£¬ÍùÍù¾Í»áÓлÈÔÖ£¬ÄÇÈçºÎ·ÀÖÎÅ©×÷Îï³æº¦ÄØ£¿»¯Ñ§·ÀÖξÍÊÇÀûÓÃÅ©Ò©ÏûÃ𲡳溦£¬¼ûЧ¿ì¡¢¹¦Ð§¸ß¡¢²»ÊÜʱ¼ä»òµØÓòµÄÏÞÖÆ£¬Òò¶ø´ó²¿·Ö