每天记录一点点--漏洞修复02（后续补充，以漏洞修复XX为版本）

每天记录一点点--漏洞修复02

一：

逻辑处理漏洞：逻辑错误漏洞是指由于程序逻辑不严或逻辑太复杂，导致一些逻辑分支不能够正常处理或处理错误，一般出现在任意密码修改（没有旧密码验证）、越权访问、密码找回、交易支付金额

针对本系统修复建议：在交易支付过程中对传递的数据进行验证，如：进制传递负值，并在服务器对金额进行校验

未添加案例URL（后续增加）

二：

未授权访问漏洞：需要安全配置或权限认证的授权页面可以直接访问，导致重要权限可被操作、企业级重要信息泄露

修复建议：增加权限控制，在访问敏感页面时对当前账户进行验证，没有权限需要提示

未添加案例URL（后续增加）

三：

目录遍历漏洞：系统管理员在发布系统的时候配置不当，导致出现目录遍历漏的

修复建议：禁止目录遍历；如：IIS6.0可以在应用程序配置—主目录—去掉勾选【目录浏览】;

未添加案例URL（后续增加）

四：

弱口令漏洞：弱口令(weak password) 没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，国内网民常用的弱密码有000000、111111、11111111、112233、123123、123321、123456、12345678、654321、666666、888888、abcdef、abcabc、abc123、a1b2c3、aaa111、123qwe、qwerty、qweasd、admin、password、p@ssword、passwd、iloveyou、5201314、asdfghjkl，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。除此之外，由于某些业务系统或者是设置在出厂时会设置默认密码，这些默认密码虽然比较复杂，但是也容易被黑客熟知从而被黑客利用

修复建议：1.使用复杂密码，建议密码长度在8位以上，包含字母大小写和特殊字符
2.不同的业务系统采用不同的密码，减少撞库的可能性，切忌“一套密码到处用”
3.对于提供初始密码的，登录第一件事就是修改密码
4.按照帐号重要程度对密码进行分级管理，重要帐号定期更换密码
5.避免以生日、姓名拼音、手机号码等与身份隐私相关的信息作为密码，因为黑客针对特定目标破解密码时，往往首先试探此类信息