通訊矩陣不全:作業系統服務、資料庫服務、應用的隨機埠
使用者清單不全:應用賬號不全,os、
db的賬號最易被忽略
未公開介面:存在資料中未公開的工具,可對應用服務進行控制的工具等。
可被繞過的安全認證:越權訪問,訪問控制方案不嚴導致的問題。
敏感資訊儲存:日誌中記錄明文口令(之前的
eam、配置都出現過日誌明文的問題),加密演算法不符合要求。
敏感資料傳輸:不安全的通道傳輸,或採用明文傳輸敏感資訊。例如:
i2000
採用http
方式傳明文的口令、
itrace
跟蹤訊息引數用明文傳輸。
安全日誌記錄:容易出現安全日誌記錄不全情況。
web安全漏洞:
sql注入、跨站漏洞、越權等
資料庫/操作系補丁未更新:安全補丁未及時更新。
第三方庫漏洞:例如
ssl第三方庫等。
nginx配置不當容易產生的安全問題
nginx一般用於做外網 配置也比較方便,但是配置不當的時候會產生一些安全問題。其中包括各個大廠也都出現過。intra server proxy nginx 一般正常的流程是這樣的 內網的集群或機器不直接連線外部,nginx做個proxy 透出傳遞網際網路。如果nginx配置不當,或者nignx d...
api的安全問題
在給第三方系統提供api時,我們需要注意下安全問題。比較常見的介面有http介面。以http介面為例。我們需要注意的幾點 1.只有被允許的系統才可以呼叫api 2.如果http請求被截獲。也不能隨便修改介面中的引數。在運維方面,可以新增訪問白名單。白名單中有一系列的ip位址。只有白名單中的ip才可以...
ActiveX 安全問題
工作中寫了乙個mfc activex,測試的時候,發現ie6和ie8修改了安全設定後能夠正常執行,ie7和別的瀏覽器則始終無法正常執行,經過多方查詢,發現缺少一些安全資訊註冊,新增下列 後能夠正常執行了。首先定義三個函式 然後在stdapi dllregisterserver void 和stdap...