常见漏洞一览表

1、密码弱口令漏洞

密码需保持长度8位及以上，并由大小写字母数字特殊字段组合而成。

2、明文传输漏洞

账号密码登录需进行加密传输

3、密码暴力破解

密码输错需指定错误次数，进行账号锁定

4、未授权访问漏洞

可直接通过链接进行访问相关图片，信息资源；需进行权限判断，资源图片等名字需要uuid进行命名；

5、IIS短文件名泄露

出现在iis部署的项目中，处置建议

l 1、CMD 关闭 NTFS 8.3 文件格式的支持；

l 2、修改注册表禁用短文件名功能；

l 3、关闭 Web 服务扩展- ASP.NET；

l 4、升级 netFramework 至 4.0 以上版本

6、易受攻击的JavaScript库漏洞的

一般为jquery版本太低导致，升级到最新版本

7、Microsoft IIS ‘../..’ 拒绝服务漏洞(CVE-1999-0229)

漏洞Microsoft Internet Information Services (IIS)URI的请求拒绝服务攻击漏洞(CVE-2007-2897)

此漏洞未找到修复方法，需要nginx进行转发

8、信息泄露

一般为url未进行授权判断，可直接通过url链接进行敏感信息的访问。

9、发现 Apache Tomcat examples 目录

安装tomcat后，需要及时删除示例目录

10、越权漏洞

用户A可以修改用户B的信息，如自增ID，在修改，删除时通过拦截修改ID，修改了B的信息。修改身份证即可查询到其他人的信息。通过加强权限判断设置签名验证进行解决。

11、高危端口

关闭服务器高危端口，修改其他端口；

服务器关闭不必要的服务和端口，如：Print Spooler、Server、TCP/IP NetBIOS Helper、135、445,139端口

高危端口关闭

21,22,23,25,53,69,110,135,139,143,161,389,445,873,1025,111,1433,1158,1521,3306,3389,3690,5432,5900,5901,6379,7001,7002,9000,9043,9200,9300,27017,27018,28017,50060,50070,50030,1099,2049,2181,2222,2375,2379,2888,3128,4000,4040,4848,4899,5000,5005,5601,5631,5632,5984,6123,7051,7077,7180,7182,7848,8019,8020,8042,8048,8051,8069,8080,8081,8083,8086,8088,8161,8443,8649,8848,8880,8888,9001,9042,9083,9092,9100,9990,10000,11000,11111,11211,18080,19888,20880,25000,25010,50000,50090,60000,60010,60030

12、密码找回功能存在系统逻辑漏洞

密码发送验证后，可以进行暴力破解，修改任意密码，解决办法限制错误次数，失败超过3次验证码失效

13、对SwaggerAPI未授权访问漏洞

服务器端删除SwaggerAPI相关配置

14、存在SSL/TLS：报告 HTTPS 的易受攻击的密码套件(CVE-2016-2183)网络安全隐患。

修复办法如下

1、登录服务器，打开windows powershell，运行gpedit.msc，打开“本地组策略编辑器”。

2、打开“本地组策略编辑器”-“计算机配置”-“管理模板”-“网络”-“SSL配置设置”，

 在“SSL密码套件顺序”选项上，右键“编辑”。

在“SSL密码套件顺序”选在“已启用（E）” ，在“SSL密码套件”下修改SSL密码套件算法，

3、仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。

（删除原有内容替换为：

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA

修改后，点击“应用”、“确定”，即可。

15、mysql5.7低版本存在漏洞，升级到最新版本

16、Microsoft Windows远程桌面协议服务程序密钥泄露漏洞(CVE-2005-1794)