漏洞防御
| 类别 | 原理及危害 | 防御方法 |
| 暴力破解 | 基于试错的攻击方式,通过尝试大量可能的用户名和密码组合来破解密钥或密码。 | 1. 加强密码强度,使用复杂且随机的密码。 2. 设置密码策略,统一管理并执行强制性密码更改。 3. 使用多重身份验证措施,如指纹、面部识别等。 4. 设置登录失败限制、锁定账户或短暂登录间隙。 5. 审计与监视,及时发现并采取紧急措施。 |
| RCE(远程代码执行) | 传入代码执行函数的变量,客户端可控,未做严格过滤,攻击者可随意输入恶意代码并在服务器端执行。 | 1. 及时修补漏洞,发布和安装补丁。 2. 执行输入验证,确保数据符合规范。 3. 安全编码规范,将安全纳入开发设计阶段。 4. 安装安全软件,检测和阻止攻击。 5. 限制代码执行,控制文件类型、大小、存储位置及执行环境。 |
| SQL注入 | 后台服务器接收参数时未做好过滤,直接带入数据库中查询,拼接执行构造的SQL语句,实现对数据库的未授权操作。 | 1. 使用参数化查询、绑定变量和预编译查询。 2. 过滤输入内容,校验字符串。 3. 安全测试和审计。 4. SQL预编译。 |
| XSS(跨站脚本攻击) | 向应用程序中输入恶意脚本,使其在用户的浏览器中执行。 | 1. 输入校验和输出编码。 2. HTTPOnly标记。 3. 内容安全策略(CSP)。 |
| CSRF(跨站请求伪造) | 利用目标用户的身份,执行非法操作。 | 1. 检查HTTP Referer是否同域。 2. 限制Session Cookie生命周期。 3. 使用验证码或一次性token。 |
| SSRF(服务器端请求伪造) | 攻击者构造特定请求传递给服务端,服务端未对传回的请求作特殊处理直接执行。 | 1. 统一错误信息,避免暴露内部信息。 2. 限制请求端口为常用端口。 3. 禁用不需要的协议。 4. 验证请求来源。 |
| XXE(XML外部实体注入) | 应用程序解析XML时,未正确处理外部实体,导致访问系统文件、执行命令等。 | 1. 禁用外部实体。 2. 使用最新版本的XML解析器。 3. 输入校验。 |
| 文件上传 | 服务端未对上传的文件进行严格验证和过滤,导致攻击者上传恶意脚本文件。 | 1. 白名单判断文件后缀。 2. 文件上传目录设置为不可执行。 3. 判断文件类型。 4. 使用随机数改写文件名和路径。 5. 单独设置文件服务器的域名。 |
| 敏感信息泄露 | 应用程序在未加密或未正确加密的情况下存储和传输敏感信息。 | 1. 加密敏感信息。 2. 数据保护措施。 3. 强密码策略。 |
| 反序列化漏洞 | 应用程序在反序列化数据时未正确验证其完整性和有效性,导致执行未经授权的代码。 | 1. 输入验证。 2. 使用最新版本的序列化器。 3. 最小化权限。 |
| 使用含有已知漏洞的组件 | 应用程序使用已知存在漏洞的第三方组件,导致攻击者可以利用这些漏洞攻击应用程序。 | 1. 使用最新版本的组件。 2. 实时跟踪漏洞。 |
| 不足的日志记录与监控 | 应用程序未正确记录或监控其活动,导致未检测到的未授权操作。 | 1. 安全审计。 2. 日志监控。 3. 入侵检测。 |
新思路:腾讯RASP+泰石引擎方案
(图片来源网络,侵删)
腾讯安全提出的RASP+泰石引擎方案具备以下核心亮点:
1、0day原生免疫:能够有效防御尚未公开的漏洞。
2、创新精准防御技术:针对常见攻击行为进行拦截,并对特定漏洞进行精准防御。
3、免重启技术:实现即刻防御,业务不中断,防御插件自动升级。
4、高稳定性:经过1000万核历炼,稳定性达到99.999%。
(图片来源网络,侵删)
该方案的产品架构以主机安全Agent方式注入防御插件到业务进程,管理插件生命周期、部署虚拟补丁,从而实现漏洞防御效果。
小伙伴们,上文介绍漏洞防御的内容,你了解清楚吗?希望对你有所帮助,任何问题可以给我留言,让我们下期再见吧。
(图片来源网络,侵删)
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/70632.html
