各種常見漏洞以及解析方式

我們都知道漏洞是硬件、軟件、協議的具體實現或系統安全策略上存在的缺陷，這也是攻擊者常常得以入侵的原因。接下來，我們看看有些什么樣的漏洞，它們對應的解析方式又是怎樣的呢？

一、弱口令。簡單理解，就是容易猜到的或被破解工具破解的密碼。既然弱口令有漏洞，那么我們就需要加強口令，這些方式可以參考：不使用空口令或系統默認口令；長度不少于8個字符；不為連續字符；最好為以下四種字符的組合：大寫字母（A-Z），小寫字母（a-z），數字（0-9）和特殊字符；不要包括人，父母，子女和配偶的姓名和出生日期，紀念日，登錄名，電子郵件地址等，以及字典中的單詞；不要使用數字或符號代替某些字母的單詞；為防止其他人從背后輕易看到您的輸入，設置的口令應該容易記住并且可以快速輸入；及時更改口令，在90天內至少更改一次口令。

二、私有IP地址泄露漏洞。IP地址是網絡用戶的重要標識，它是攻擊者在攻擊之前需要知道的信息。針對這種漏洞最有效的是“數據包分析方法”，可以安裝一些軟件，該軟件可以自動刪除發送的數據包頭的IP信息。

三、HTTP報頭追蹤漏洞。這種漏洞產生于客戶端通過向Web服務器提交TRACE請求來測試或獲取診斷信息時。攻擊者可以利用此漏洞來欺騙合法用戶并得到他們的私人信息。防御HTTP頭跟蹤漏洞的方法通常會禁用HTTP TRACE方法。

四、Struts2遠程命令執行漏洞。因為Apache Struts是用于構建Java Web應用程序的開源體系結構。 很容易Apache Struts中存在輸入過濾錯誤。CNVD可以處理許多此類漏洞

五、應用程序測試腳本泄露。由于測試腳本對提交的參數數據缺少充分過濾，因此遠程攻擊者可以使用該漏洞以WEB進程的權限查看系統上任何文件的內容。防御此類漏洞通常需要嚴格過濾提交的數據，以有效檢測攻擊。