一、弱口令【文末福利】

产生原因

与个人习惯和安全意识相关，为了避免忘记密码，使用一个非常容易记住的密码，或者是直接采用系统的默认密码等。

危害

通过弱口令，攻击者可以进入后台修改资料，进入金融系统盗取钱财，进入OA系统可以获取企业内部资料，进入监控系统可以进行实时监控等等。

防御

设置密码通常遵循以下原则：

（1）不使用空口令或系统缺省的口令，为典型的弱口令；

（2）口令长度不小于8 个字符；

（3）口令不应该为连续的某个字符（例如：AAAAAAAA）或重复某些字符的组合（例如：tzf.tzf.）。

（4）口令应该为以下四类字符的组合：大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个，那么该字符不应为首字符或尾字符。

（5）口令中不应包含特殊内容：如本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail 地址等等与本人有关的信息，以及字典中的单词。

（6）口令不应该为用数字或符号代替某些字母的单词。

（7）口令应该易记且可以快速输入，防止他人从你身后看到你的输入。

（8）至少90 天内更换一次口令，防止未被发现的入侵者继续使用该口令。

二、SQL注入

产生原因

当Web应用向后台数据库传递SQL语句进行数据库操作时。如果对用户输入的参数没有经过严格的过滤处理，那么攻击者就可以构造特殊的SQL语句，直接输入数据库引擎执行，获取或修改数据库中的数据。

本质

把用户输入的数据当做代码来执行，违背了 “数据与代码分离”的原则。

SQL注入的两个关键点：

1、用户能控制输入的内容；

2、Web应用把用户输入的内容带入到数据库中执行；

危害

盗取网站的敏感信息
绕过网站后台认证
后台登陆语句：SELECT*FROMadminWHEREUsername='user'andPassword='pass'
万能密码：‘or‘1’=‘1’#
借助SQL注入漏洞提权获取系统权限
读取文件信

防御

（1）采用sql语句预编译和绑定变量 #{name}

其原因就是：采用了PrepareStatement，就会将SQL语句：“select id,name from user where id=?”预先编译好，也就是SQL引擎会预先进行语法分析，产生语法树，生成执行计划，也就是说，后面你输入的参数，无论你输入的是什么，都不会影响该SQL语句的语法结构了。因为语法分析已经完成了，而语法分析主要是分析SQL命令，比如：select、from、where、and、or、order by等等。

所以即使你后面输入了这些SQL命令，也不会被当成SQL命令来执行了，因为这些SQL命令的执行，必须先通过语法分析，生成执行计划，既然语法分析已经完成，已经预编译过了，那么后面输入的参数，是绝对不可能作为SQL命令来执行的，只会被当成字符串字面值参数。

（2）使用正则表达式过滤传入的参数

（3）过滤字符串，如insert、select、update、and、or等

三、文件上传

原理

在文件上传的功能处，若服务端未对上传的文件进行严格验证和过滤，导致攻击者上传恶意的脚本文件时，就有可能获取执行服务端命令的能力，称为文件上传漏洞。

成因

服务器的错误配置
开源编码器漏洞
本地上传上限制不严格被绕过
服务器端过滤不严格被绕过

危害

上传恶意文件
getshell
控制服务器

绕过方式

防御

白名单判断文件后缀是否合法
文件上传的目录设置为不可执行
判断文件类型
使用随机数改写文件名和文件路径
单独设置文件服务器的域名
使用安全设备防御

四、XSS（跨站脚本攻击）

原理

XSS（Cross Site Scripting）：跨站脚本攻击，为了不和层叠样式表（Cascading Style Sheets）的缩写CSS混合，所以改名为XSS

XSS原理：攻击者在网页中嵌入客户端脚本（通常是JavaScript的恶意脚本），当用户使用浏览器加载被嵌入恶意代码的网页时，恶意脚本代码就会在用户的浏览器执行，造成跨站脚本的攻击

危害

盗取Cookie
网络钓鱼
植马挖矿
刷流量
劫持后台
篡改页面
内网扫描
制造蠕虫等

防御

对用户的输入进行合理验证
对特殊字符（如 <、>、 ’ 、 ”等）以及<script>、javascript 等字符进行过滤
根据数据位置设置恰当的输出编码
根据数据将要置于 HTML 上下文中的不同位置（HTML 标签、HTML 属性、JavaScript 脚本、CSS、URL），对所有不可信数据进行恰当的输出编码
设置HttpOnly属性
避免攻击者利用XSS漏洞进行Cookie劫持攻击