1066vip威尼斯的公告-威尼斯人2299

单位

网站名称

漏洞类型

建议方法

研究生处

英语学习

dos攻击

即为denial of service attack，拒绝服务攻击，dos攻击通过消耗或者破坏目标系统上的网络带宽、系统资源、服务程序等，使得目标系统无法提供正常的网络服务或资源访问。最常见的dos攻击有计算机网络带宽攻击和连通性攻击，攻击方法大体可以分为利用软件实现的缺陷、利用协议的漏洞、进行资源比拼三类。

1、安装防火墙等安全设备、设定路由器的过滤功能等方式过滤dos攻击，网络管理员要积极谨慎地维护系统，确保无安全隐患和漏洞；

2、每台网络设备或主机都需要随时更新其系统漏洞、关闭不需要的服务、安装必要的防毒和防火墙软件、随时注意系统安全，避免被黑客和自动化的dos程序植入攻击程序，以免成为黑客攻击的帮凶；

3、可以考虑在系统中使用一些防ddos的小工具，如ddos deflate。

保卫处

官方网站

sql注入漏洞（sql injection）

 是web开发中最常见的一种安全漏洞，是指通过控制传递给程序数据库操作语句的关键变量来获得恶意控制程序数据库权限的漏洞，可以用来从数据库获取敏感信息，或者利用数据库的特性执行添加用户，导出文件等一系列恶意操作，甚至有可能获取数据库乃至系统最高权限。sql注入攻击具有广泛性、技术难度不高、危害性大的特点。

造成sql注入漏洞攻击的主要原因是开发人员在系统开发的过程中编程不规范，没有形成良好的编程习惯，问题的解决只有依赖于规范编程。

1、  解决sql注入问题的关键是对所有可能来自用户输入的数据进行严格的检查、对数据库配置使用最小权限原则；

2、  可以使用现有的sql注入漏洞扫描器对整个网站中的关键代码进行扫描，查找网站页面中存在的sql注入点，对于有问题的页面，可以及时删除或更新；

3、  我们平时还应该做好网站服务器的数据备份，以便在出现意外时及时地进行数据恢复。

保卫处

官方网站

后勤集团

物资供应中心

中国农村发展研究院

官方网站

社会科学处

官方网站

校团委

大学生艺术团

web后门

网页后门是一段运行在服务器端的网页代码，攻击者可以通过这段精心设计的代码，在服务器端进行某些危险的操作，获得某些敏感的技术信息或者通过渗透，提权获得服务器的控制权。并且这也是攻击者控制服务器的一条通道，比一般的入侵更具有隐蔽性。

网站管理员要对自己的网站进行安全检测，然后进行安全设置或者代码改写。

1、  首先要关闭本机不用的端口或只允许指定的端口访问；

2、  其次要使用专杀木马的软件，为了有效地防范木马后门；

3、  第三是要学会对进程操作，时时注意系统运行状况，看看是否有一些不明进程正运行并及时地将不明进程终止掉。

科技处

旧网站

教务处

官方网站

未授权访问漏洞

是指系统没有开启相关认证和添加相关安全策略时，导致任意用户在可以访问目标服务器的情况下未授权访问以及读取服务器的数据，远程攻击者可利用该漏洞浏览应用程序的日志文件，造成数据库数据泄露、代码执行、敏感信息泄露等危害，同时可导致更高强度的攻击，攻击者获取的更多信息又可发生进一步的攻击。

对此应该加强访问控制，采取添加防火墙规则避免其他非信任来源 ip访问、添加认证、设置单独账户密码、管理端口不要对公网开放等应对策略。