2024网络web漏洞修复指南手册.docx

上传人:夺命阿水 文档编号:1424680 上传时间:2024-06-15 格式:DOCX 页数:10 大小:63.12KB
返回 下载 相关 举报
2024网络web漏洞修复指南手册.docx_第1页
第1页 / 共10页
2024网络web漏洞修复指南手册.docx_第2页
第2页 / 共10页
2024网络web漏洞修复指南手册.docx_第3页
第3页 / 共10页
2024网络web漏洞修复指南手册.docx_第4页
第4页 / 共10页
2024网络web漏洞修复指南手册.docx_第5页
第5页 / 共10页
点击查看更多>>
资源描述

《2024网络web漏洞修复指南手册.docx》由会员分享,可在线阅读,更多相关《2024网络web漏洞修复指南手册.docx(10页珍藏版)》请在课桌文档上搜索。

1、网站Web漏洞修复手册序号漏洞分类漏洞名称风险级别漏洞描述加固建议1输入与输出验证SQ1.注入漏洞高危当Web应用程序未对用户输入的数据进行足够的安全处理(如危险字符过海或若语句过滤),而直接拼接SQ1.语句执行时,攻击者可以精心构造参数值,便服务器执行非预期的SQi.语句并返回结果,造成数据库信息泄露.利用SQ1.注入漏洞,攻击者可获取数据库的增、税、改、查权限,甚至执行系统命令,上传后门文件等。针对SQ1.注入漏洞,需要对网站所有参数中提交的数据进行过渔,禁止输入”、xor、一、W、select,and*等特殊字符:所有的查询语句都使用数据库提供的参数化查询接1.l,SQ1.语句使用参数化

2、处理后的数据作为输入,而不是将用户输入变增嵌入到SQ1.语句中:严格限制网站用户对数据库的掾作权限,给此用户提供仅仅能铭满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害:避免网站显示SQ1.错误信息,比如类型错误、字段不匹配等,防止攻击者收柒这些错误信息进行判断进而执行SQ1.注入攻击。2输入与输出验证XSS跨站脚本漏洞高危跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被执行,攻击者可利用该漏洞窃取或操纵客户会话和cookie,用来模仿合法用户,从而使攻击者获得管理员权限,控制整个网站。1 .在COOkie中设置了HtlpOnly属性,那么通过JaVaSCriP

3、I脚本将无法读取到COokie信息,这样能一定程度上防止XSS攻击。2 .假定所有输入都是可疑的,必须对所有输入中的SCriPt、iframe等字样进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HrrP请求中的cookie中的变质:,HnP请求头部中的变St等.3 .不仅脸证数据的类型,还要验证其格式、长度、范围和内容:过滤“心、将用户输入放入引号间,基本实现数据与代码隔离:过滤双引号防止用户跨越许可的标记,添加自定义标记;过iTAB和空格,防止关键字被拆分;过浓SCriPl关键字:过滤贴,防止HTM1.属性绕过检查。在客户端和服务器端同时做数据的验证与过港。5 .对输出

4、的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行安全检查。3输入与输出验证CR1.F注入漏洞高危CR1.F是回车+换行”(rn)的简称在HTTP协议中.HTTPHCader与HTTPBOdy是用两个CR1.F分隔的,浏览器就是根据这两个CR1.F来取出HTTP内容并显示出来。所以,一旦我们能够控制HTTP消息头中的字符,注入一些恶意的换行,这样我们就能注入一些会话COokie或者HTM1.代码,所以CR1.FInjeCliOn又叫HTTPResponseSplitting.简称HRS。HRS是比XSS危害更大的安全问思针对CR1

5、.F注入漏洞,建议过渡“、5等特殊字符,避免输入的数据污染到其他HrrP头。4输入与输出验证UR1.重定向钓鱼高危通过构建UR1.,攻击者可以使用户重定向到任意UR1.,利用这个漏洞可以诱使用户访问某个页面,挂马、密码记录、下载任意文件等,常被用来钓鱼。1. referer的限制如果确定传递UR1.参数进入的来源,可以通过该方式实现安全限制,保证该UR1.的有效性,避免恶意用户自己生成跳转链接Q2. 加入有效性验证TokCn保证所有生成的链接都是来自于可信域的,通过在生成的链接里加入用户不可控的Token对生成的链接进行校验,可以避免用户生成自己的恶意链接从而被利用。3. UR1.白名单,在白

6、名单内才进行跳转5输入与输出验证HoSl头攻击漏洞高危对开发人员来说,提取请求头中的HoSt参数写入当前页面是个很不明智的选指因为如果这样,攻击者就Ur以通过修改HTTPi?求头中的HoSt字段,控制服务涔返回页面中的UR1.。不允许读取HoSt字段并写入页面。如有需要,应使用服务器脚本自带的SERVER_NAME变量。6输入与输出验证框架注入漏洞高危攻击者彳j可能注入含有恶意内容的frame或iframe标签。如果用户不够谨慎,就有可能浏览该标签所对应的页面,但意识不到自己会离开原始站点而进入恶意的站点。之后,攻击者便可以诱导用户再次登录,然后获取其登录凭证。建议过港以下所有字符:&:$%*

7、,*O()+CR1.F,7输入与输出验证CSRF跨站请求伪造漏洞高危攻击者可利用该漏洞模仿合法用户,从而使攻击者能够以该用户身份杳看或变更用户记录以及执行事务。1.使用验证码使用验证码,那么每次操作都需要用户进行互动,可简单有效的防御CSRF攻击。2 .检测referer通过检查RQrerer的值,我们就可以判断这个请求是合法的还是非法的3 .增加一个随机的token值添加一个参数Token,其值是随机的。这样攻击者因为不知道TOken而无法构造出合法的请求进行攻击。8输入与输出验证文件上传漏涧高危验证上传文件的程序没有对上传文件作任何过渡,导致可以上传任意文件到服务器,甚至是病毒文件和木马文

8、件。对于上传的附件,验证程序要做严格验证,使用服务端校验,而不能仅用前端javascript验证。1 .建议严格限制上传文件类型和上传文件名及后级。2 .检查文件头和文件内容,对上传文件目录的运行权限进行严格限制.3 .及时排查、删除服务器木马文件。9输入与输出验证本地文件包含漏洞高危由于程序员未对用户可控的变量进行输入检杳,导致用户可以控制被包含的文件,成功利川时可以使WebSerVer将特定文件当成脚本执行,从而导致攻击者可获取定的服务器权限:或直接读取系统文件,造成服务器敏感f.i.,J.j针对文件包含漏洞,建议采用“白名单”的方式,限制允许包含的文件范围。10输入与输出验证远程文件包含

9、漏洞高危服务器通过语言的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严格,从而可以去包含一个恶意文件,攻击者就可以远程构造一个特定的恶意文件达到攻击目的。如果一定要动态包含文件,建议最好明确规定包含哪些文件,进行白名单比对。同时,也可以在包含函数中加入目录限制。11输入与输出验证SSRF(服务端请求伪造)高危很多Web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的UR1.,Web应用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意使用,可以利用存在缺陷的WCb应用作为代理攻击远程和本地的服务瑞,探测内网信息甚至内网入侵。SSRF形成的原因大都是由于服务端提

10、供J从其他服务器应用获取数据的功能且没有对目标地址做过滤与限制。比如从指定UR1.地址获取网页文本内容,加载指定地址的图片,卜载等等。建议对UrI参数值做严格的限制。12输入与输出验证任意文件读取漏洞高危程序过滤不严,导致可以通过./等方式跳转到其他目录读取任意文件。1 .过滤”./”的特殊字符2 .限制读取文件的目录,不允许跨目录读取13输入与输出验证任意文件下载漏洞高危在正常卜.我链接的文件参数前加来跳出目录限制,下载系统文件等任意文件。该漏洞是由于后台代码未对卜载路径做安全限制引起的。针对任意文件下载漏洞,建议严格限制文件下载路径。14配置管理Struts2dev-mod命令执行漏洞高危

11、网站封装采用APaCheStrutsx*ork作为网站应用框架,且devMode为打开状态。当这个设置开启时,SlrUIS2会提供更多的日志和调试信息来帮助开发者更快速的开发。然而在开发者模式下,将允许OGN1.语句注入,攻击者可能利用此漏洞进行远程代码执行.1 .升级最新版本:2 .系统如果不再使用,请将其下线或用防火墙屏蔽.15配宜管理S2-005命令执行漏洞高危OGM.除其他功能外,还提供了广泛的表达评估功能,该漏洞允许恶意用户绕过构建在ParameIerSlnterceptor中的#-使用保护,从而能够利用此漏洞进行远程代码执行。1 .升级最新版本:2 .系统如果不再使用,请将其下线或

12、用防火墙屏版。16配置管理S2-009命令执行漏洞高危OGN1.除其他功能外,还提供广泛的表达评估功能.该漏洞允许恶意用户绕过构建到ParamCterSlnterCePtQr中的所彳f保护(正则表达式模式,拒绝方法调用),从而能够在任何公开的字符串变量中注入恶意表达式以进一步评估。S2-003和S2F05中已经解决了类似的行为,但事实证明,基于白名单可接受的参数名称所产生的修红只是部分地关闭了漏洞.正则表达式在ParameterSlnterCePtor中匹配top,foo,(0)作为一个仃效的表达式,OGN1.把它视为(topfoo)(0)并旦将f。动作参数的值作为OGN1.表达式来计算。这使

13、得恶意用户可以将任意的OGN1.语句放入任何由操作暴露的字符串变量中,并将其作为OGN1.表达式进行求值,并且由于OGN1.语句在HnP参数值中,攻击者可以使川黑名单字符(例如#)禁用方法执行并执行任意方法绕过了PanUneIerSInIerCePlor和OGN1.库的保护。1 .升级最新版本:2 .系统如果不再使用,请将其下线或用防火墙屏蔽.17配置管理S2-016命令执行漏洞高危在StrUtS2中,DefaUIlACtionMaPPer类支持以action:、redirect:*、redireclAclion:作为导航或是重定向前缀,但是这些前缀后面同时可以跟OGN1.表达式,由于stru

14、ts2没有对这些前缀做过滤,导致利川OGN1.表达式调用java静态方法执行任意系统命令。1 .升级最新版本;2 .系统如果不再使用,请将其下线或用防火墙屏版.18配置管理S2-017UR1.跳转漏洞高危在2.3.15.1之前的StrUtS2中,“redirect:或-redirectAction:”之后的信息可以很容易地被操纵,以重定向到任意位置.1 .升级最新版本:2 .系统如果不再使用,谙将其下线或用防火墙屏敏.19配置管理S2-019命令执行漏洞高危StrUtS2的操作映射机制支持特殊参数前缀操作,这可能会在表格底部附加引导信息,在映射action/前缀操作时存在安全绕过漏洞,可被攻击

15、者利用绕过某些安全限制访问受限制功能,.StrUtS2的DynamiCMethodIn、,。Cation机制是默认开启的(仅提醒用户如果可能的情况下关闭此机制)这样就存在远程代码执行漏洞,攻击者可利用此漏洞在受影响应用上下文中执行任意代码。1 .升级最新版本;2 .系统如果不再使用,请将其下线或用防火堵屏蔽。20配置管理S2-032命令执行漏洞高危动态方法调用启用时,可能会传递个恶意表达式,用于在服务器端执行任意代码。1 .升级最新版本:2 .系统如果不再使用,请将其下线或用防火墙屏蔽,21配置管理S2-037命令执行漏洞高危StrUtS2使用ReSt插件之后,ActionMapping通过o

16、rg.apache,struts2.rest.RestActionMapper.java类的pub1icActionMappinggetMapping(HttpServ1GtRequestrequest,ConfiguratiOnManagerconfigManagcr)的方法获取的。其中,当请求UrI是如下的格式:actionName/id/methodName会获取OiethodName作为ACtiOnMaPPing的method属性。但method属性未做任何处理,同S2-032漏洞执行流程一致,都是将ACIionMaPPing的属性设置到ACIionPrOXy中,从AClionPrOX

17、y中获取melhod属性带入到Ognl表达式中执行,通过OGN1.表达式静态调用获取Ogn1.OgnIConteXt的DEFAU1.1.MEMBERACCESS属性并覆盖embeAccess的方式进行绕过,进而可在受放制的服务器端执行任意代码。即攻击者在部署了REST插件的StrUtS2服务器上均可利用该漏洞远程执行任意命令1 .升级最新版本:2 .系统如果不再使用,请将其下线或用防火墙屏蔽。22配置管理S2-045命令执行漏洞高危使用Jakafla文件上传插件的Struts,攻击者可在上传文件时通过修改HTTP请求头中的COnIenl-Type值来触发该漏洞,进而执行系统命令。1 .升级最新

18、版本:2 .系统如果不再使用,请将其下线或用防火墙屏蔽。23配置管理S2-046命令执行漏洞高危使用Jakarta文件上传插件的Struts,攻击者可在上传文件的大小(由COnten1.ength头指定)大于StrUtS2允许的最大大小(2GB),文件名内容构造恶意的OGN1.来触发该漏洞,进而执行系统命令.1 .升级最新版本:2 .系统如果不再使用,请将其下线或用防火墙解蔽。24配置管理S2-052命令执行漏洞高危Struts2REST插件使用带有XStream程序的XStreamHandler进行未经任何代码过渡的反序列化操作,这可能在反序列化XM1.PaylOadS时导致远程代码执行。任

19、意攻击者都可以构造恶意的XM1.内容提升权限。1 .升级最新版本:2 .系统如果不再使用,请将其下线或用防火墙屏蔽.25配置管理JDWP远程命令执行漏洞高危JDWP是JavaDebugWireProtocol的缩写,它定义了调试器(debugger)和被调试的JaVa虚拟机(targetvm)之间的通信协议。当对外开启该协议的JaVa调试模式时,存在远程命令执行漏洞。允许攻击者远程执行代码,获得服务器权限.1 .升级最新版本;2 .系统如果不再使用,请将其下线或用防火堵屏蔽,26配置管理ElaStiCSearCh命令执行漏洞高危该漏洞存在于个名为ElaStiCSearCh.ym的文件,在这个文

20、件中存在,个配置项“script.disabledynamic,,默认为“false”。此默认配置允许服务器动态执行用户发送的任意代码。黑客只需要通过一个CR1.地址向服务器传送一段代码,就可以创建和执行他们自己的程序。一旦黑客获得通过,他们在服务器上的操作将不受任何限制,包括窃取网站中的用户账号及密码等敏感信息,或者留下个后门程序.1 .升级最新版本:2 .系统如果不再使用,请将其下线或用防火墙屏蔽.27配置管理ReSin任意文件读取漏河高危安装某些版本ReSin服务器的网站存在可读取任意文件的漏洞,攻击者利用该漏洞可以读取网站服务器的任意文件内容。1 .升级最新版本;2 .系统如果不再使用

21、,请将其下线或川防火墙屏蔽。28配置管理GNUBaSh远程命令执行高危GNlBash4.3及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行SheIl命令。1 .升级最新版本:2 .系统如果不再使用,请将其下线或用防火墙屏蔽。29配置管理Unicode转换漏洞高危住UniCOde在转换时,由F超长字节序列和错误格式引起子序列的安全问巡,通过特殊的编码格式统过程序对恶意字符的检测,可以用在SQ1.注入、XSS等。1.升级UniCode版本至官方最新稔定版本hup:/WWW.unicode.org2

22、.Unicode转化UTF-8编码后,对转换后进行安全检测,对特殊字符过滤或进行安全编码后输出。30配置管理检测到网站被黑痕迹高危网站页面已被篡改或已有入侵痕迹。清除网站木马,全面检测网站漏洞并及时修旦。31配置管理使川被弃用的SSl2.0协议高危网站Imps使用了SS1.2.0协议。核协议非常老旧I1.已被弃用。该协议存在大量已知的安全漏洞,比如DRoWN漏洞等.禁用SS1.2.0或者使用SS1.3.0或T1.S1.o代替。32配置管理OPCnSS1.远程内存泄露漏涧(心脏滴血漏涧)高危OPenSS1.是一款开放源码的SS1.实现,用来实现网络通信的高强度加密。漏洞与OPenSS1.T1.S

23、/DT1.S传输层安全协议hearlbeal扩展组件(RFC6520)相关,因此漏洞又被称为“heartbleedbug(中文名称:“心血”漏洞)。该漏洞无需任何特权信息或身份验证,就可以获得X.509证书的私钥、用户名与密码、CoOkieS等信息,进一步可直接从服务提供商和用户通讯中窃取聊天工具消息.、电子邮件以及重要的商业文档和通信等私密数据。升级OPenSS1.版本到最新的1.0.1g:使用-DOPENSS1.NOjEARTBEATS参数重新编译低版本的OPenSS1.以禁用Heartbleed极块。33配置管理JBossSeam参数化E1.表达式远程代码执行漏洞高危JBossSeain

24、是一个JaVaEE5框架,把JSF与EJB30组件合并在一起,从而为开发基于Web的企业应用程序提供一个最新的模式。JBossSeaIn处理某些参数化JBoSSE1.表达式的方式存在输入过派漏洞(CVE-2010T87D。如果远程攻击者能够诱骗通过认证的JBOSSSeam用户访问特制的网页,就可能导致执行任意代码升级至4.3.0E1.,1或以上更高的、确认已修更此漏洞的版本。参考链接:https:/bugziIla.redhat.conshow-bug.cgi?id=61595634配置管理WcblogicJaVa反序列化远程命令执行漏洞高危WobIogiC存在JaVa反序列化漏洞,攻击者可以

25、远程执行系统命令,获得服务器权限。及时升级官方补丁。35配置管理JBOSS反序列化漏洞高危根源在CoranonSCoIleCtiOnS组件中对于集合的操作存在可以进行反射调用的方法,并且该方法在相关对象反序列化时并未进行任何校验,导致远程代码执行。利用漏洞,允许攻击者远程执行系统命令,获得服务器权限.导致服务罂运行安全风险。IhIMJBossJaVa反序列化漏洞,建议更新jboss版本到最新版(http:ww.jboss.org/)或更新官方补丁。2 .针对数据库帐号密码进行修改,要求密码长度8位数以上,密码或杂程度必须包含数字、大小写字母及特殊字符。3 .对服务器进行全面安全检查,及时排查、

26、清除WebSheu等后门文件:及时修改数据库密码等.36配置管理JBossJMxinvokerServIetas程命令执行漏洞高危JbOSS在默认安装的时候,会安装hllp-invoker.sar站点,当请求invoker/JMXInvokerServ1et或invokerEJBInYokerSerVIet会调用org.jboss.invocation,http,servlet.InvokerServlet.ClaSS处理请求该类对GET请求和POST请求,统,调用ProCeSSReqUCSt函数处理,因此,攻击者需要自己构造个jboss的类,并且将其序列化,然后将序列业曹1在漏洞站点的inv

27、oker/JMXlnVQkerSerVIel页面,建议删除或禁止访问/invoker/JMXInvokerServ1eI文件。37配置管理ApachcACtiVCMQ远程代码执行漏洞(CVE-2016-3088)高危pacheActiveMQFileserver存在多个安全漏洞,可使远程攻击者用恶意代秒替代Web应用,在受影响系统上执行远程代码(CVE-2016-3088).1 .ActivcMQFilcscrvcr的功能在5.14.0及其以后的版本中已被移除。建议用户升级至5.14.0及其以后版本。2 .通过移除COnfjetty.xml的以下配置来禁用ActiveMQHleserver功能

28、38配置管理ApacheTofllCat示例目录漏洞高危tomcat安装时就认的演示、文档页面,会造成信息泄露和XSS跨站脚本漏洞,攻击者可以创建、销毁或控制SeSSiOn.删除相关功能演示页面。39配置管理TomCat版本过低漏洞中危TomCat由于版本过低存在安全漏洞。升级TOInCal版本或及时打补丁。40配置管理S2F53命令执行漏洞中危ApacheStruts2FreCmarkCr标签如果被错误的配宜使用,将会导致RCE远程代码执行漏洞。1 .升级到APaCheStrUtS版本2.5.12或2.3.342 .使用只读属性来初始化YalUC屈性(仅限getter属性)3 .Freema

29、rker标签内容不要通过ReqUeSl方式获取41配置管理HPPT.SyS远程代码执行漏洞(MS15-034)中危远程执行代码漏洞存在于HTTP协议堆栈(HlTRsys)中,当HTTP.sys未正确分析经特殊设计的HTTP请求时会导致此漏洞,成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。影响以下成本操作系统的I】SjjK务器:Windows7、Windows8Windowsserver2008,Windowsserver2012用户安装微软官方修更补丁(3042553)0htpszsuppor.nicrosoft.conzh-cnkb304255342配置管理肥bDav文件上传/

30、信息泄露漏洞中危WebDAV是一种基于HTTPI.1协议的通信协议陀扩展了HTTPI.I,在GET、POST,HEAD等几个HTTP标准方法以外添加了一些新的方法“使应用程序可直接对WebSerVer文件进行读写,并支持写文件馍定(1.OCking)及解债(Unlock),还可以支持文件的版本控制“远程攻击者可能利用此漏涧非授权读写文件。通常情况下网站不需要支持额外的方法,建议禁用WebDav服务,关闭PUT、MOVE、CoPY等方法。43配置管理SloWlHtP拒绝服务攻击中危如果远程攻击者使用发包工具向APaChC服务器发送了不完整的HTTP诸求,服务器会打开连接等待接受完整的头,但如果发

31、包工具不再维续发送完整请求而是发送无效头的话,就会一直保持打开的连接。这种攻击所造成的影响很严重,因为攻击者不需要发送很大的通讯就可以耗尽服务器上的可用连接。也就是说,即使低带宽的用户也可以攻击大流量的服务器。1 .升级到最新版的apache2 .在h!pd.conf中添加ReqUeSlReadTitneoUlheader=20-40,MinRate=500body=20,MinRate=SOO3 .直接在iptables中限制每个IP的连接数可以解决以上绝大部分问题,除非攻击者拥TF众多肉鸡,否则单IP的攻击将失去效果。iptables-INPUT-ptcpsyn-dport8889-mco

32、nnlimit-connlimit-above20-jREJECT-reject-,ithtep-reset44配置管理jQuery版本过低jQuery低版本存在跨站)中危jQuery1.6.3之前版本中存在跨站脚本漏洞。当使用IOCation.hash选择元素时,通过特制的标签,远程攻击者利用该漏洞注入任意WCb脚本或HTMJ升级jQuery版本。45配更管理不安全的javascript库文件中危该版本的javascript库存在多个安全漏洞升级javascript库版本。46配置管理传输层保护不足漏洞中危传输层保护不足,会暴露传输的数据,导致数据被窃听,账号被盗等,如果是管理员的账号面临这

33、个问题.那么将会导致整个网站处于数据暴露的状态,将对网站和用户造成严重的甚至无法挽回的损失。1 .对所有敏感的负面使用SS1.,非SS1.请求的页面应该被重定向至USS1.请求的页面。2 .对所有敏感的CoOkie,设置“secure”的flag。3 .保证SS1.的提供商只支持强大的算法,这样就不能够被轻易破解。(使用标准的强算法)4 .确保您的证书是有效的,不过期,不被撤销,并匹配这个网站使用的所有域。5 .后台和其他的连接也应该使用SS1.或其他加密技术。6 .即使是开发者的注释也应该很好的被保护,防止信息泄露。47配置管理服务器启用了TRACEMethod方法中危1 .恶意攻击者可以通

34、过TRACEMCthOd返回的信息了解到网站前端的些信息,如缓存服务器等,从而为下步的攻击提供便利。2 .恶意攻击者可以通过TRACEMethOd进行XSS攻击3 .即使网站对关键页面启用了HtlPOnIy头标记和禁止脚本读取cookie信息,那4网过TRACEMethQd恶意攻击者还是可以绕过这个限制读取到CoOkie信息。禁用TRACE方法。48配置管理点击劫持漏洞(X-FramO-OPtionS头缺失)中危通过覆盖不可见的框架误导受害者点击,受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另个置于原网页上面的透明页面。设置X-Frame-0ptions值来防御利用ifra

35、me嵌套的点击劫持攻击49配置管理启用了不安全的HTTP方法(启用了OPTIONS方法)中危开启了不安全的HTTP方法:DE1.TE/SEARCE/COPY,MoVE/PROPFIND/PROPPATCHMKCO1.1.OCK/UN1.OCK/PUT,可能会在Web服务器上上载、修改或删除Web页面、脚本和文件。如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP方法。50配置管理域名访问限制不严格中危目标存在域名访问限制不严格漏洞。HItP请求的HoStnanle字段没有严格的域名限制,导致可以绕过些防护措施.配置WEB服务器,限制只能以域名形式访问服务器。51信息泄露SV

36、N源代码泄露高危造成SVN源代码漏洞的主要原因是管理员操作不规范。在使用SVN管理本地代码过程中,会自动生成一个名为svn的腾藏文件夹,其中包含重要的源代码信息,但一些网站管理员在发布代码时,不愿意使用,导出功能,而是直接复制代码文件夹到WEB版务器上,这就使svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的此ntries文件,逐步摸清站点结构.更严重的问题在于,SVN产生的,snH录下还包含了以.svn-basc结尾的源代码文件副本(低版本SVN具体路径为text-baseH录,高版本SVN为PriStinC目录),如果服务器没有对此类后缀做解析,黑客则可以直接获得文

37、件源代码针对SVN信息泄露漏洞,建议删除MEB目录里的SVN文件或限制访问.svn目录,并升级SVN软件至1.7或以上更高版本52信息泄露.idea工程目录信息泄露漏洞高危.idea目录用来放置开发工程的一些配置文件,通常是.xml文件。其中WorkSPaCe.xml里面存放一些开发者个人配置,比如开发路径、开发环境等,里面包含些欢感信息.生产环境中删除.idea目录及该目录下的文件,或配置网站服务器禁止访问.idea目录。53信息泄露ASP.NET_Padding_OraCIC信息泄露(MSl5070)高危ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息泄漏漏洞。成功利用此

38、漏洞的攻击者可以读取服务器加密的数据,例如视图状态。此漏洞还可以用于数据篡改,如果成功利用,可用于解密和皴改服务器加交的数据.建议将MiCroSOft.NETFramework更新至最新版本。54信息泄露gil信息泄露高危泄露网站敏感信息,攻击苕可直接获取源码信息实施进一步攻击。删除git目录。55信息泄露错误页面信息泄露(应用程序错误信息)中危攻击者可以根据错误或警告消息收集服务器信息。1.关闭Web服务器错误提示:2,关闭运行平台的错误提示;3.建立错误机制,不要把真实的错误反馈给访问者。捕获后台抛出的舁常,制定异常固定跳转页面,如500错误,跳转到相应页面,例如“系统异常请与管理员联系”

39、,103异常,找不到页面等等。56信息泄露备份文件泄露中危在网站的使用过程中,往往需要对网站中的文件进行修改、升级。此时就需要对网站整站或者其中某一页面进行备份。当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站Web目录下,而该目录又没有设置访问权限时,便有可能导致备份文件或者编辑器的缓存文件被下载,导致敏感信息泄露,给服务器的安全埋下隐患,1 .删除不必要的备份文件:2 .设置访问权限;3,将备份文件放至服务器其它目录下。57信息泄露目录遍历中危攻击者通过不指定Url中的具体文件,来查看某个目录下的所有文件和目录结构。针对目录遍历漏涧,建议通过修改配置文件,去除Web容器(如Apa

40、che)的文件目录索引功能。58信息泄露IIS短文件名漏洞中危MicrosoftIIS在实现上存在文件枚举漏洞,攻击者可以利用字符猜解或遍历服务器中的文件名,或对IIS服务器中的.NetFrameWork进行拒绝服务攻击。针对IIS短文件名漏洞,建议禁止Url中使用或它的UniCOde编码,或关闭WindoWS的8.3格式功能。59信息泄露源代码泄露漏洞中危部分或全部页面源代码泄露,攻击者可审查源代码泄露的可用信息进步海透。删除源代码文件或对需要的未解析的源代码进行解析.60信息泄露robots,txt文件泄露中危泄露网站敏感信息,包括网站的后台页面或其它隐私页面。1 .robots.txt文

41、件不应用来保护或隐藏信息。2 .应该将敏感的文件和目录移到另个隔离的子目录,以便将这个目录排除在WebRobot搜索之外.如下列示例所示,将文件移到“folder”之类的非特定目录名称是比较好的解决方案:Newdirectorystructure:folderpasswords.txtfoldersensitive-folderNewrobots,txt:User-agent:*Disallow:/folder/3 .如果您无法更改目录结构,目必须将特定目录排除于WebRobot之外,在robots,txt文件中,请只用局部名称。虽然这不是最好的解决方案,但至少它能加大完整目录名称的猜测难度。

42、例如,如果要排除“sensitive_fOlder”和passwords.txtm,请使用下列名称(假设Web根目录中没布起始于相同字符的文件或目录):robots.txt:User-agent:*Disallow:seDisallow:pa,61信息泄露敏感信息泄露中危敏感信息泄露股包括:中间件、软件框架cms)类里和版本信息,数据库表结构、网站架构、账号密码体系等等.这些信息般在服务器错误信息、Zml注择、院藏表单、示例文件等地方出现。攻击者得到这些信息,仃助于缩小攻击范围,进行有针对性的更深层次的攻击。对于般信息泄霭,删除无用页面,或删除页面中的敏感信息即可。对于敏感报错信息泄露,需要设

43、芭代码捕获异常,并抛出异常,服务端出现异常后不在客户端回显,统返回不包含城感信息的错误页面.62信息泄露GiIhUb信息泄露漏洞中危开发人员使用GilhUb进行代码管理U而免费用户在GiIhUb上的项Fl内容可在网站中检索到,井对所有用户开放可查看.泄露的敏感信息般包括:软件源代码、程序账号密码等等.攻击者得到这些信息,可以进行代码审汁,更有针对性的找到网站漏洞,甚至可以获得用户账号密码,直接登录获得用户权限。删除敏感的GithUb项目代码,对可能泄露的帐号密码及时进行修改。63信息泄露PHP探针信息泄露中危PHP探针文件会导致网站敏感信息泄露恻除默认安装PHP探针文件。64信息泄露PhPin

44、fo页面泄露中危泄露网站服务梏敏感信息,包括网站物理路径、PHP版本、服务器信息及环境变量等。1 .通过修改服务器环境内php.ini文件,将expose.PhP=On”修改成itexpose_php=Off*然后重启PhP即可。2 .如果确实需要该测证信息,在测试时使用,测试完毕后将该文件删除掉。3 .若无需要可以将一些PhP的危险函数禁川,打开etcphp.ini文件,杳找到disable_functions,添加需禁用的以下函数名:phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_op

45、en,proc_get_status,ini_alter,inialter,ini_restore,dl,pfsockopcn,openlog,syslog,readlitk,Symlink,POPePaSSthru,stream_socket_servexfsocket,fsOCkoPen65信息泄露发现隐藏目录低危嬖试了检测服务器上的隐藏目录,403Forbidden响应泄露了存在此目录,即使不允许对其进行访问,泄露网站目录结构。可对禁止的资源发布u404-NotFound”响应状态代码,或者将其完全除去.66信息泄露内部IP地址泄露低危泄露内网IP地址禁止将内网IP置于网站页面或代码层中

46、。67信息泄露OpenSSHCBC模式信息泄露漏洞低危配置为CBC模式,OPenSSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误,导致可能泄露密文中任意块最多32位纯文本。临时解决方案:在SSH会话中仅使用CTR模式加密算法,如AES-CTR目前厂商已经发布了升级补丁以修纪这个安全问题,补丁下载链接:https:/downloads,68信息泄露未加密的登录请求低危检测中发现登录请求(例如:用户名、密码、电子邮件地址、社会安全号码等)被发送到服务器的过程中并未采用通讯加空协议或加密。恶意人员可通过数据截包实现网站管理员用户名、密码信息的截获。注册或登录时,客户发送请求敏感信息进行加密,例如密码、电话、邮件等敏感信息进行加密传输。69访问控制Memcached未授权

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 在线阅读 > 生活休闲


备案号:宁ICP备20000045号-1

经营许可证:宁B2-20210002

宁公网安备 64010402000986号