OA安全需知讲述.docx

目录弱口令3可预测的登录凭证3网站式门户设置易于上传木马3已解密的__VIEWSTATE参数7会话cookie中缺少httponly属性7不充分账户封锁7链接注入（便于跨站请求伪造）8Microsoft IIS 缺少Host头信息泄漏8信息泄露漏洞11弱口令该漏洞管理员可以通过设置【密码最小长度】、【密码有效期】来进行防范。请管理员增强admin用户的密码强度，并妥善保管。可预测的登录凭证请管理员清理类似如下用户名和密码。用户名：admin、密码：admin；用户名：guest、密码：guest；用户名：test、密码：test网站式门户设置易于上传木马该漏洞请管理员通过【系统管理】-【权限管理】-【权限设置】来控制该页面的访问权限。另外，请实施人员协助管理员清理文件夹读写权限，将角色【Everyone】的写入权限去掉，并添加角色【NETWORK SERVICE】，赋予【完全控制】的权限。具体操作如下。删除角色【Everyone】单击C6文件夹，右键选中“属性”，弹出文件夹属性窗口（如图3-1）。（图3-1）单击属性框中的【安全】选项卡（如图3-2）。（图3-2）【组或用户名】中如不存在Everyone 可以跳过该步骤。选中【Everyone】单击【编辑】按钮，得到如下（如图3-3）。（图3-3）单击【删除】，单击【确定】即可。添加角色【NETWORK SERVICE】，赋予【完全