今日查看已发布业务中的实时漏洞分析,发现有1处目标服务器信息,提示该服务器有两种漏洞类型,分别是配置错误漏洞(1)和弱密码漏洞(1)。
点击服务器名,AF会自动生成报表进行详细描述
配置错误漏洞的信息如下 详细信息
检测客户端请求方向的认证密码没有加密或者为空,有可能被攻击者截获请求包并获取认证密码。
解决方案
方法1:使用下一代防火墙新建一条安全防护策略,启用WEB应用防护功能。
方法2:建议web网站开发者对认证密码进行加密或者现在用户密码不能为空。
弱密码漏洞信息如下 详细信息
弱密码格式为:1、密码为空;2、密码包含用户名;3、密码长度小于等于6位;4、字典序;5、不同时包含字母、数字和特殊字符中两者。
账号: biXXXer
密码: 8*****
解决方案
方法1:修改密码的长度,将密码修改为更复杂的数字和字母组合。
经排查是测试已发布业务,将相关端口进行了端口映射,外网访问的时候被防火墙记录并告警。
|