top 10 安全漏洞
1 弱口令
弱的、易於猜中的和重新使用以前用過的口令都損害安全。測試賬戶擁有的口令強度弱且幾乎沒有監控。不要在系統或因特**點重新使用口令。
2 沒有打過補丁的軟體
沒有打過補丁的、過時的、有漏洞的或仍處於預設配置狀態的軟體。大多數漏洞都可以通過及時的打上補丁和測試予以避免。
充分3 無安全措施的遠端訪問點
無安全措施或無監控的遠端訪問點等於為企業網路被隨意訪問開啟了一條「捷徑」。最大的隱患是公司前雇員的賬戶沒有被關閉。
4 資訊洩漏
資訊洩漏使攻擊者可以了解有關作業系統和應用程式的版本、使用者組、共享以及dns的資訊。使用者注入谷歌、facebook、linked-in、maltigo和內建的
windows工具可以為攻擊者提供大量資訊。
5 執行不必要的服務
執行不必要服務(如ftp,dns,rpc等)的主機為攻擊者提供了更大的攻擊面。
6 配置不當的防火牆
防火牆規則可能非常複雜從而彼此相互衝突。常常增加了測試的防火牆規則,或緊急情況下打上的補丁後來沒有被刪除,從而防火牆規則可能允許攻擊者訪問dmz
或內部網路。
7 配置不當的網際網路伺服器
配置不當的網際網路伺服器,尤其是具有跨站指令碼和sql注入漏洞的網頁伺服器,可能會嚴重損害的你的整個網際網路安全。
8 不充分的日誌記錄
由於網際網路閘道器及主機上的監控不足,攻擊者有機會再你的環境中大顯身手。所以必須考慮監控外流的通訊流量,以便檢測出網路中是否潛伏有高階和持久的敵人。
9 過度寬鬆的檔案和目錄訪問控制
windows和unix內部的檔案共享只有少量或者幾乎沒有訪問控制,這樣就讓攻擊者可以在網路中自由地亂竄並悄悄偷走最敏感智財權。
10 缺乏記錄成冊的安全策略
任意的或未記錄成冊的安全控制使得在系統或網路中執行不一致的安全標準,這必然導致系統被攻破。
十大滲透測試演練系統
OWASP移動安全漏洞Top 10
在owasp排第一的漏洞是 脆弱的伺服器端安全控制 顧名思義,就是沒有以乙個安全的方式從移動應用程式向伺服器端傳送資料,或在傳送資料時暴露了一些敏感的api。例如,考慮對乙個android應用程式登入伺服器的憑據進行身份驗證,而沒有對輸入進行驗證。攻擊者可以以這樣一種方式修改憑證來獲得伺服器敏感的或...
Web安全漏洞
web的大多數安全問題都屬於下面三種型別之一 1 伺服器向公眾提供了不應該提供的服務。2 伺服器把本應私有的資料放到了公開訪問的區域。3 伺服器信賴了來自不可信賴資料來源的資料。顯然,許多伺服器管理員從來沒有從另乙個角度來看看他們的伺服器,例如使用埠掃瞄程式。如果他們曾經這樣做了,就不會在自己的系統...
Redis安全漏洞
redis 預設情況下,會繫結在 0.0.0.0 6379,如果沒有進行採用相關的策略,比如新增防火牆規則避免其他非信任 ip 訪問等,這樣將會將 redis 服務暴露到公網上,如果在沒有設定密碼認證 一般為空 的情況下,會導致任意使用者在可以訪問目標伺服器的情況下未授權訪問 redis 以及讀取 ...