弱密码、未授权加固/修复建议

弱密码加固

1、密码采用大小写字母、数字、特殊字符的混合密码。

2、密码长度不小于8位。

3、密码中不出现跟个人身份相关的信息。

4、不使用常见的键盘密码组合，比如：1qaz@WSX

5、三个月更换一次密码。

6、不使用历史使用的密码。

7、不在浏览器中保存密码。

8、不向他人传播密码，如需发送，需要进行加密，使用过后及时更改。

未授权修复方案

1、对于敏感信息的页面加入身份验证机制，比如：增加用户名密码验证。

2、统一系统的功能点进行权限的设置，防止低权限用户使用高权限用户操作的行为。

3、弃用系统及时下线，防止攻击者通过此漏洞横向渗透。

4、系统管理人员定期排查系统中是否存在该类漏洞。

5、重要系统进行隔离，防止内网中的任意主机都可以访问到该系统。

弱密码、未授权加固/修复建议相关推荐

渗透测试常见漏洞描述及修复建议
弱口令漏洞描述由于系统中存在有弱口令,导致攻击者通过弱口令可轻松登录系统中,从而进行下一步的攻击,如上传webshell,获取敏感数据! 另外攻击者利用弱口令登录网站管理后台,可任意增删改等操作, ...
常见web安全漏洞及修复建议
文章目录常见WEB漏洞高危漏洞 SQL Injection(SQL注入攻击) 漏洞描述修复建议 Cross-site scripting(跨站脚本攻击,简称XSS) 漏洞描述修复建议 Brok ...
常规web渗透测试漏洞描述及修复建议
1.Apache样例文件泄漏漏洞描述 apache一些样例文件没有删除,可能存在cookie.session伪造,进行后台登录操作修复建议 1.删除样例文件 2.对apache中web.xml进行 ...
渗透测试常见漏洞描述以及修复建议
1.Apache样例文件泄漏漏洞描述 apache一些样例文件没有删除,可能存在cookie.session伪造,进行后台登录操作修复建议 1.删除样例文件 2.对apache中web.xml进行 ...
Jenkins未授权访问
Jenkins Jenkins简介 Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,它能把软件开发过程形成工作流.默认情况下Jenkins面板中用户可以选择执行脚本界面来操作一 ...
再探SSRF服务器请求伪造（weblogic cve ssrf redis未授权）
攻击Redis 漏洞环境复现环境使用vulhup weblogic ssrf 地址:https://vulhub.org/#/environments/weblogic/ssrf/ vulhub使用 ...
【MySQL】解除mysql5.7.X版本弱密码限制
mysql数据库从5.7的版本开始对密码进行了严格的限制,因为他默认安装了一个validate_password的插件,我们在命令行中输入 mysql> show plugins; 即可看到,一 ...
哪种修复redis未授权访问漏洞的方法是相对不安全的_关于Linux挖矿、DDOS等应急事件处置方法...
前言从去年六月份到现在做的应急响应.事件分析大大小小的做了数百个,主要遇到的有挖矿.DDoS.短信接口盗刷.用户接口泄漏.越权信息获取.挂黑页.删数据等.本文只针对自己做的应急响应中的挖矿和DDoS ...
Elasticsearch 未授权访问漏洞验证及修复
漏洞修复: 1.限制IP访问,禁止未授权IP访问ElasticSearch端口(默认9200). 2.通过ES插件形式来增加访问验证,需要注意增加验证后切勿使用弱口令: ①shield插件,收费,暂不 ...
src挖掘之Tomcat未授权弱口令+war后门上传
src挖掘之Tomcat未授权弱口令+war后门上传 1.前言今天在挖洞的过程中又一次碰到/manager/html页面,本以为还是照常的登进不去,但还是不死心的试了一下Tomcat的弱密码,没想到 ...

弱密码、未授权加固/修复建议

弱密码加固

未授权修复方案

弱密码、未授权加固/修复建议相关推荐

最新文章

热门文章