久久精品高颜值嫩模大尺度啪啪,国产日韩在线播放

　　強訊科技CallThink呼叫中心系統(tǒng)在網(wǎng)絡安方面進行升級，包括SQL注入、暴力破解、回話固定等等漏洞。

　　強訊公司從創(chuàng)始之初就以軟件開發(fā)為主，從早期的CS產(chǎn)品，現(xiàn)在的BS產(chǎn)品，在不斷應用新技術，開發(fā)新功能的同時，我們也遇到了很多網(wǎng)絡安全問題。最初的處理方就是更新系統(tǒng)補丁，避免病毒通過系統(tǒng)漏洞感染計算機；設置強壯管理員登錄密碼；及時更新殺毒軟件，并定期的進行全盤殺毒等方式提高系統(tǒng)的安全性。

　　隨著互聯(lián)網(wǎng)的普及，隱私泄露、信息被盜、惡意代碼注入、數(shù)據(jù)庫被攻擊等各種網(wǎng)絡攻擊的方式日漸增多，目前的大環(huán)境是企業(yè)對自身的網(wǎng)絡安全的重視程度在不斷提高，市場上出現(xiàn)了很多網(wǎng)絡安全檢測軟件，如綠盟軟件等，輔助企業(yè)提高網(wǎng)絡安全性。

　　強訊的產(chǎn)品在經(jīng)受網(wǎng)絡安全檢測過程中，發(fā)現(xiàn)了很多問題。目前的BS架構系統(tǒng)，被檢測出包括SQL注入、暴力破解、跨網(wǎng)站攻擊、回話固定等漏洞。同時，我們的產(chǎn)品都是基于Windows操作系統(tǒng)的，那么Windows系統(tǒng)本身的漏洞也為我們的軟件產(chǎn)品安全帶來威脅。我們在解決這些問題的過程中，也逐步積累了一些方法，下面我們簡單描述一下網(wǎng)絡攻擊方式：

　　1、SQL注入

　　所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達到欺騙服務器執(zhí)行惡意的SQL命令。具體來說，它是利用現(xiàn)有應用程序，將（惡意）的SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫，而不是按照設計者意圖去執(zhí)行SQL語句。

　　2、XSS跨站攻擊：

　　(Cross Site Script為了區(qū)別于CSS簡稱為XSS) ，跨站腳本攻擊。它指的是惡意攻擊者往Web頁面里插入惡意html代碼，當用戶瀏覽該頁之時，嵌入其中Web里面的html代碼會被執(zhí)行，從而達到惡意用戶的特殊目的。

　　3、會話固定

　　Session fixation attack(會話固定攻擊)是利用服務器的session不變機制，借他人之手獲得認證和授權，然后冒充他人。這種攻擊方式的核心要點就是讓合法用戶使用攻擊者預先設定的session ID來訪問被攻擊的應用程序，一旦用戶的會話ID被成功固定，攻擊者就可以通過此session id來冒充用戶訪問應用程序(只要該session id還是有效的，也就是沒有被系統(tǒng)重新生成或者銷毀)。通過這種方式，攻擊者就不需要捕獲用戶的Session id(該種方式難度相對稍大)。

　　4、暴力破解

　　暴力破解一般指窮舉法，窮舉法的基本思想是根據(jù)題目的部分條件確定答案的大致范圍，并在此范圍內(nèi)對所有可能的情況逐一驗證，直到全部情況驗證完畢。若某個情況驗證符合題目的全部條件，則為本問題的一個解；若全部情況驗證后都不符合題目的全部條件，則本題無解。窮舉法也稱為枚舉法。

　　系統(tǒng)登錄時如果未采取圖形驗證碼等有效的安全措施，或者驗證碼不刷新，惡意攻擊者可以采用字典方式進行多次登錄嘗試，從而威脅用戶的帳號安全。

　　5、TRACE Method Enabled漏洞

　　TRACE方法是HTTP（超文本傳輸）協(xié)議定義的一種協(xié)議調(diào)試方法，該方法使得服務器原樣返回任何客戶端請求的內(nèi)容（可能會附加路由中間的代理服務器的信息），由于該方法原樣返回客戶端提交的任意數(shù)據(jù)，因此，可用來進行跨站腳本（XSS）攻擊，這種攻擊方式又稱為跨站跟蹤攻擊（XST）。

　　6、啟用TRACE方法存在如下風險

　　A、惡意攻擊者可以通過TRACE方法返回的信息了解到網(wǎng)站前端的某些信息，如緩存服務器等，從而為進一步的攻擊提供便利；

　　B、惡意攻擊者可以通過TRACE方法進行XSS攻擊，盜取會話cookie、獲取賬戶、模擬其他用戶身份，甚至可以修改網(wǎng)頁呈現(xiàn)給其他用戶的內(nèi)容，從而給用戶帶來損失；

　　C、即使網(wǎng)站對關鍵頁面啟用了HttpOnly頭標記，禁止腳本讀取cookie信息時，通過使用Trace方法，惡意攻擊者可以繞過這個限制，讀取cookie信息。

　　7、WEBSHELL

　　shell是web入侵的腳本攻擊工具。簡單的說來，webshell就是一個asp或php木馬后門，黑客在入侵了一個網(wǎng)站后，常常在將這些 asp或php木馬后門文件放置在網(wǎng)站服務器的web目錄中，與正常的網(wǎng)頁文件混在一起。然后黑客就可以用web的方式，通過asp或php木馬后門控制網(wǎng)站服務器，包括上傳下載文件、查看數(shù)據(jù)庫、執(zhí)行任意程序命令等。防范webshell的最有效方法就是：可寫目錄不給執(zhí)行權限，有執(zhí)行權限的目錄不給寫權限。

　　8、明文密碼傳輸漏洞

　　在HTTP下密碼是通過明文傳輸，在系統(tǒng)登錄時，傳輸?shù)拿艽a未進行加密，可通過數(shù)據(jù)包攔截直接獲取。密碼類的重要信息會很容易被嗅探到，極其不安全。有人提用 MD5 代替明文，但是解決這種傳輸中安全問題的終極方案是使用HTTPS協(xié)議加密傳輸。只要在客戶端輸入時密碼不被竊取，且SSL協(xié)議的私鑰安全，這種協(xié)議就是安全的。

　　9、JS敏感信息泄露

　　JavaScript作為一種相當簡單但功能強大的客戶端腳本語言，本質是一種解釋型語言。所以，其執(zhí)行原理是邊解釋邊運行。上述特性就決定了JavaScript與一些服務器腳本語言（如ASP、PHP）以及編譯型語言（如C、C++）不同，其源代碼可以輕松被任何人獲取到。一些粗心的開發(fā)者將各式敏感信息存儲在JavaScript腳本中，由于JS的特性，攻擊者可以對這些信息一覽無余，從而導致對WEB服務和用戶隱私造成不同程度的威脅。此類漏洞修復相對容易，在明白了JavaScript的特性以后，不把此類敏感信息直接存儲進頁面內(nèi)的js和ajax請求響應內(nèi)容中就可以解決這類問題。

　　10、IIS短文件名枚舉漏洞

　　Microsoft IIS在實現(xiàn)上存在文件枚舉漏洞，攻擊者可利用此漏洞枚舉網(wǎng)絡服務器根目錄中的文件，即如果創(chuàng)建了一個長文件，那么無需猜解長文件，直接用短文件就可以下載了。攻擊者可以利用“~”字符猜解或遍歷服務器中的文件名，或對IIS服務器中的。Net Framework進行拒絕服務攻擊。漏洞造成原因：沒有禁止NTFS8.3格式文件名創(chuàng)建。

　　11、啟用APSP。NET調(diào)試模式

　　應用程序代碼可能會包含各種類型的錯誤或BUG，通過調(diào)試將獲取大量網(wǎng)站敏感數(shù)據(jù)。同時啟用調(diào)試模式將極大地影響 ASP。NET 應用程序的性能。應在部署發(fā)布版本的應用程序或進行性能度量之前要禁用調(diào)試模式。

　　12、系統(tǒng)漏洞

　　Windows操作系統(tǒng)會不斷暴露出漏洞并持續(xù)需要修復，系統(tǒng)中存在安全漏洞和質量缺陷將會使系統(tǒng)遭到攻擊。

　　13、系統(tǒng)安全配置

　　A、配置管理缺省賬戶以及賬戶錯誤鎖定機制。

　　B、對密碼的負責度和生存周期、重復次數(shù)等進行配置。

　　C、設置遠程認證授權，安裝殺毒軟件并及時更新。

　　D、關閉不必要的服務端口。

　　E、關閉硬盤的默認共享。

　　F、關閉WINDOWS自動播放功能

　　G、取消不必要的啟動項