中国重庆公安局主办 | 加入收藏| 招警信息|110服务台|有奖举报
  → 您现在的位置: 重庆市公安局公众信息网网络安全管理
常见漏洞类型及处置建议(第三期)
来自:|时间:2017年12月18日【字号: 】 【打印】 【关闭

一、弱口令漏洞

弱口令(weakpassword)没有严格和准确的定义,通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。

设置密码通常遵循以下原则:

1)不使用空口令或系统缺省的口令,这些口令众所周之,为典型的弱口令。

2)口令长度不小于8个字符。

3)口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。

4)口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。

5)口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。

6)口令不应该为用数字或符号代替某些字母的单词。

7)口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。

8)至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。

二、HTTP报头追踪漏洞

HTTP/1.1RFC2616)规范定义了HTTPTRACE方法,主要是用于客户端通过向Web服务器提交TRACE请求来进行测试或获得诊断信息。当Web服务器启用TRACE时,提交的请求头会在服务器响应的内容(Body)中完整的返回,其中HTTP头很可能包括SessionTokenCookies或其它认证信息。攻击者可以利用此漏洞来欺骗合法用户并得到他们的私人信息。该漏洞往往与其它方式配合来进行有效攻击,由于HTTPTRACE请求可以通过客户浏览器脚本发起(如XMLHttpRequest),并可以通过DOM接口来访问,因此很容易被攻击者利用。

防御HTTP报头追踪漏洞的方法通常禁用HTTPTRACE方法。

网上办事导航 | 招警信息 | 政府公开信箱 | 有奖举报
关闭窗口】 【返回首页