【防御手段】 常见网络安全高危漏洞全解析（一）

无论是政用、民用还是商用网站，无论是信息系统或是服务器，都有可能成为被黑客攻击的对象，都存在着一定的潜在风险和隐患。知己知彼，百战不殆。当今网络时代，首先要具备的就是防患于未然的网络安全意识，了解自己面对着何种威胁比以往任何时候都来得更为重要。只有预先把握好每种恶意攻击各自的特性，才能将网络安全风险系数降到最低，才能为我们的经济发展和社会发展保驾护航。不妨先从互联网上常见的高危漏洞开始，看看能够采取哪些办法来保护你的网站或系统。

SQL注入漏洞

SQL注入漏洞是指：通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。具体来说，它是利用现有应用程序，将SQL语句注入到后台数据库引擎执行的能力，它可以通过在Web表单中输入SQL语句得到一个存在安全漏洞的网站上的数据，而不是按照设计者意图去执行SQL语句。

【漏洞危害】：通过操作数据库对特定网页进行篡改；修改数据库一些字段的值，嵌入网马链接，进行挂马攻击；攻击数据库服务器，篡改数据库管理员账户；远程控制服务器，安装后门；破坏硬盘数据，瘫痪全系统等。

【防御手段】：1、对输入进行严格的转义和过滤；2、数据类型进行严格定义，数据长度进行严格规定；3、通过WAF设备启用防止SQL注入的策略；4、严格限制网站访问数据库的权限。

敏感数据泄露漏洞

近年来，数据泄露已经成为了最常见、最具影响力的攻击，一般我们的敏感信息包括密码、财务数据、医疗数据等，由于WEB应用或者API未加密或不正确的保护敏感数据，这些数据极易遭到攻击者利用，攻击者可能使用这些数据来进行一些犯罪行为。因此，未加密的信息极易遭到破坏和利用，例如之前Facebook就泄露了用户的大量信息，现在信息泄露已经成为了OWASP top10中排名前3的漏洞之一。

【漏洞危害】：用户信息、企业员工信息、内部资料等不应当被外部访问到的数据通过网站、接口、外部存储等途径被未授权泄露到外部，大量用户或企业信息被恶意利用、进行诈骗、账户窃取等，给用户和企业带来严重的不良影响。并且一旦信息被泄露，影响会很难消除。

【防御手段】：1、对系统处理、存储或传输的数据分类，并根据分类进行访问控制；2、对重要数据进行加密存放，数据在传输过程中使用密文进行传输；3、及时清理没有用的敏感数据，指定用户访问敏感数据。

原标题：《【防御手段】 常见网络安全高危漏洞全解析（一）》

阅读原文