网站漏洞修复建议祥解.docx
《网站漏洞修复建议祥解.docx》由会员分享,可在线阅读,更多相关《网站漏洞修复建议祥解.docx(22页珍藏版)》请在冰豆网上搜索。
网站漏洞修复建议祥解
漏洞修复建议
目录
一.应用层漏洞修复建议5
1.1A1-注入5
1.1.1描述5
1.1.2危害5
1.1.3案例6
1.1.4加固建议6
1.2A1-失效的身份认证和会话管理7
1.2.1描述7
1.2.2危害7
1.2.3案例8
1.2.4加固建议8
1.3A3-跨站脚本9
1.3.1描述9
1.3.2危害9
1.3.3案例9
1.3.4加固建议9
1.4A4-不安全的直接对象引用10
1.4.1描述10
1.4.2危害10
1.4.3案例11
1.4.4加固建议11
1.5A5-安全配置错误11
1.5.1类型11
1.5.2危害12
1.5.3案例12
1.5.4加固建议12
1.6A6-敏感数据泄露13
1.6.1类型13
1.6.2危害13
1.6.3案例13
1.6.4加固建议14
1.7A7-缺乏功能层次的访问控制14
1.7.1类型14
1.7.2危害14
1.7.3案例14
1.7.4加固建议15
1.8A8-跨站请求伪造15
1.8.1类型15
1.8.2危害15
1.8.3案例16
1.8.4加固建议16
1.9A9-使用含已知漏洞的组件16
1.9.1类型16
1.9.2危害17
1.9.3案例17
1.9.4加固建议17
1.10A10-未验证的重定向和跳转17
1.10.1类型17
1.10.2危害17
1.10.3案例18
1.10.4加固建议18
二.主机层漏洞修复建议18
2.1Windows18
2.1.1类型18
2.1.2加固建议19
2.2Unix/Linux19
2.2.1类型19
2.2.2加固建议19
2.3Oracle19
2.3.1类型19
2.3.2加固建议19
2.4Mysql20
2.4.1类型20
2.4.2加固建议20
2.5SQLServer20
2.5.1类型20
2.5.2加固建议20
2.6Tomcat/Apache21
2.6.1类型21
2.6.2加固建议21
2.7Weblogic21
2.7.1类型21
2.7.2加固建议21
三.网络设备类漏洞修复建议22
3.1路由器/交换机22
3.1.1类型22
3.1.2加固建议22
3.2防火墙/安全设备22
3.2.1类型22
3.2.2加固建议22
四.弱口令类修复建议23
4.1FTP/SSH/TELNET/SMB/HTTP等认证协议23
4.1.1漏洞类型23
4.1.2加固建议23
五.其他类修复建议23
5.1.1类型23
5.1.2加固建议23
六.附件24
一.
应用层漏洞修复建议
一.1A1-注入
1.1.1描述
注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。
攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。
注入漏洞通常能在SQL查询、LDAP查询、OS命令、程序参数等中出现
1.1.2危害
注入能导致数据丢失或数据破坏、缺乏可审计性或是拒绝服务。
注入漏洞有时甚至能导致完全接管主机
1.1.3案例
1.1.4加固建议
1.在网页代码中需要对用户输入的数据进行严格过滤。
2.网络中部署Web应用防火墙
3.对所有用户输入字符进行转义
4.参数化查询
5.通过存储过程预先定义并存放在
6.对数据库操作进行监控
建议过滤出所有以下字符:
[1]|(竖线符号)
[2]&(&符号)
[3];(分号)
[4]$(美元符号)
[5]%(百分比符号)
[6]@(at符号)
[7]‘(单引号)
[8]“(引号)
[9]\’(反斜杠转义单引号)
[10]\\”(反斜杠转义引号)
[11]<>(尖括号)
[12]()(括号)
[13]+(加号)
[14]CR(回车符,ASCII0x0d)
[15]LF(换行,ASCII0x0a)
[16],(逗号)
[17]\(反斜杠)
一.2 A1-失效的身份认证和会话管理
二.描述
与认证和会话管理相关的应用程序功能往往得不到正确管理,这就导致攻击者破坏密码、密匙、会话令牌或利用实施漏洞冒充其他用户身份。
三.危害
这些漏洞可能导致部分甚至全部帐户遭受攻击。
一旦攻击成功,攻击者能执行合法用户的任何操作。
因此特权帐户会造成更大的破坏。
四.案例
五.加固建议
1、区分公共区域和受限区域
2、对最终用户帐户使用帐户锁定策略
3、支持密码有效期
4、能够禁用帐户
5、不要在用户存储中存储密码
6、要求使用强密码
7、不要在网络上以纯文本形式发送密码
8、保护身份验证Cookie
9、使用SSL保护会话身份验证Cookie
10、对身份验证cookie的内容进行加密
11、限制会话寿命
12、避免XX访问会话状态
五.1A3-跨站脚本
六.描述
跨站脚本是最普遍的web应用安全漏洞。
当应用程序在发送给浏览器的页面中包含用户提供的数据,但没有经过适当验证或转译,就会导致跨站脚本漏洞。
目前常见的3中XSS漏洞:
1)存储式;2)反射式;3)基于DOM。
七.危害
攻击者能在受害者浏览器中执行脚本以劫持用户会话、迫害网站、插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器等等。
八.案例
九.加固建议
1、区分公共区域和受限区域
2、对最终用户帐户使用帐户锁定策略
3、支持密码有效期
4、能够禁用帐户
5、不要在用户存储中存储密码
6、要求使用强密码
7、不要在网络上以纯文本形式发送密码
8、保护身份验证Cookie
9、使用SSL保护会话身份验证Cookie
10、对身份验证cookie的内容进行加密
11、限制会话寿命
12、避免XX访问会话状态
九.1 A4-不安全的直接对象引用
一十.描述
所谓"直接引用不安全的对象",即Insecure direct object references,意指一个已经授权的用户,通过更改访问时的一个参数,从而访问到原本其并没有得到授权的对象。
Web应用往往在生成Web页面时会用它的真实名字,且并不会对所有的目对象访问时来检查用户权限,所以这就造成不安全的对象直接引用的漏洞。
我们看如下的一个示例,也许这样就更容易理解什么是不安全的对象直接引用。
■ 攻击者发现他自己的参数是6065,即?
acct=6065;
■ 他可以直接更改参数为6066,即?
acct=6066;
■ 这样他就可以直接看到6066用户的账户信息
一十一.危害
这种漏洞能损害参数所引用的所有数据。
除非名字空间很稀疏,否则攻击者很容易访问该类型的所有数据。
一十二.案例
一十三.加固建议
1.使用非直接的对象引用——这防止了攻击者直接访问其并未授权的对象,通过一种mapping或是其他的方法让攻击者无法直接访问。
2.检查访问——对每一个来自于不信任的源的直接对象引用都必须包含访问控制检查,从而确信该用户对该对象拥有访问权。
一十三.1 A5-安全配置错误
一十四.类型
安全配置错误可以发生在一个应用程序堆栈的任何层面,包括平台、Web服务器、应用服务器、数据库、架构和自定义代码。
攻击者通过访问默认账户、未使用的网页、未安装补丁的漏洞、未被保护的文件和目录等,以获得对系统未授权的访问。
一十五.危害
系统可能在未知的情况下被完全攻破,用户数据可能随着时间推移而被全部盗走或者篡改。
一十六.案例
一十七.加固建议
1.验证你的系统的安全配置
2.可使用自动化的安全配置向导;
3.必须覆盖整个平台和系统;
4.对所有组件都必须保证安装了最新的补丁;
5.完善分析变更带来的安全影响
6.对所有你做的安全配置进行记录
7.使用自动化扫描工具对你的系统进行验证。
一十七.1 A6-敏感数据泄露
一十八.类型
保护与加密敏感数据已经成为网络应用的最重要的组成部分。
最常见的漏洞是应该进行加密的数据没有进行加密。
使用加密的情况下常见问题是不安全的密钥和使用弱算法加密。
一十九.危害
■攻击者能够盗取或篡改机密的或私有的信息
■攻击者通过这些秘密信息而进行下一步的攻击
■造成企业声誉破损,用户满意度下降,甚至会有法律诉讼等。
二十.案例
二十一.加固建议
1、删除此类文件
2、限制此类文件的访问权限。
二十一.1 A7-缺乏功能层次的访问控制
二十二.类型
有时功能级的保护是通过系统配置管理的,当系统配置错误时,开发人员必须做相应的代码检查,否则应用程序不能正确的保护页面请求。
攻击者就是利用这种漏洞访问XX的功能模块。
二十三.危害
攻击者很容易就把网址改成享有特权的网页,这样就可以使用匿名或普通用户访问未受保护的私人页面,从而提升未授权功能和相关数据信息。
二十四.案例
二十五.加固建议
导航栏中,如果没有权限访问的,就隐藏掉
具体页面中的按钮也是这样的处理方式,隐藏不要禁用(就是用户不能操作的,就不要让用户看到)
二十五.1 A8-跨站请求伪造
二十六.类型
跨站请求伪造CSRF,是利用了网站允许攻击者预测特定操作的所有细节这一特点。
由于浏览器自动发送会话cookie等认证凭证,导致攻击者能够创建恶意的web页面来产生伪造请求。
这些伪造的请求很难和合法的请求区分开。
CSRF听起来像跨站脚本(XSS),但它与XSS不同,并且攻击方式几乎相左。
XSS利用站点内的信任用户,而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。
二十七.危害
攻击者能够让受害用户修改任何允许修改的数据,执行任何用户允许的操作。
例如修改密码、登陆注销等。
二十八.案例
二十九.加固建议
1.对于重要操作,建议采用POST方法替代GET方法,可有效提高攻击者利用的难度。
2.对于重要操作,建议在完成操作前给予用户提示信息。
3.在服务器端增加Referer请求字段的验证。
二十九.1 A9-使用含已知漏洞的组件
三十.类型
开发人员使用的组件也会含有漏洞,这些漏洞能够被自动化工具发现和利用。
然后攻击者根据需要定制攻击代码并实施攻击。
三十一.危害
根据漏洞的级别,严重的可能造成主机被完全接管和数据泄漏。
三十二.案例
三十三.加固建议
1、升级所采用的组件
2、修改组件安全配置,降低攻击所产生的危害
三十三.1 A10-未验证的重定向和跳转
三十四.类型
应用程序经常将用户重定向到其他网页,或以类似的方式进行内部转发。
当目标网页是通过一个未验证的参数来指定时,就容易被攻击者利用。
攻击者通过诱使受害人去点击未经验证的重定向链接,从而利用不安全的转发绕过安全检测。
三十五.危害
攻击者通过重定向可以试图安装恶意软件或者诱使受害人泄露密码等敏感信息,通过转发可以绕过访问控制。
三十六.案例
三十七.加固建议
1.Referer的限制,确定传递URL参数进入的来源,保证该URL的有效性,避免恶意用户自己生成跳转链接
2.加入有效性验证Token,通过在生成的链接里加入用户不可控的Token对生成的链接进行校验,可以避免用户生成自己的恶意链接从而被利用,但是如果功能本身要求比较开放,可能导致有一定的限制
三十八.主机层漏洞修复建议
三十八.1Windows
三十九.类型
MicrosoftWindows是微软发布的非常流行的操作系统。
该系列各版本存在较多层面漏洞
四十.加固建议
1.官方下载对应的补丁,更新修补
2.禁用该漏洞所属的服务
3.修改系统安全配置,强化该服务安全功能
4.主机防火墙阻断其端口或限制访问源IP地址或地址段
5.外部防火墙访问控制
6.隐藏信息版本,防止扫描探测
四十.1Unix/Linux
四十一.类型
LinuxKernel是开放源码操作系统Linux所使用的内核。
该系列各内核及默认的服务存在较多漏洞
四十二.加固建议
1.官方下载对应的补丁,更新修补
2.禁用该漏洞所属的服务
3.修改系统安全配置,强化该服务安全功能
4.主机防火墙阻断其端口或限制访问源IP地址或地址段
5.外部防火墙访问控制
6.隐藏信息版本,防止扫描探测
四十二.1Oracle
四十三.类型
OracleDatabase是一款商业性质大型数据库系统。
过往该厂家定期会公布紧急补丁公告,同时会修复多个漏洞
四十四.加固建议
1.官方下载对应的补丁,更新修补
2.禁用该漏洞所属的服务
3.修改系统安全配置,强化该服务安全功能
4.主机防火墙阻断其端口或限制访问源IP地址或地址段
5.外部防火墙访问控制
6.隐藏信息版本,防止扫描探测
四十四.1Mysql
四十五.类型
OracleMySQLServer是一个轻量的关系型数据库系统。
该类型因部分组件及版本较老,存在较多安全漏洞
四十六.加固建议
1.官方下载对应的补丁,更新修补
2.禁用该漏洞所属的服务
3.修改系统安全配置,强化该服务安全功能
4.主机防火墙阻断其端口或限制访问源IP地址或地址段
5.外部防火墙访问控制
6.隐藏信息版本,防止扫描探测
四十六.1SQLServer
四十七.类型
MicrosoftSQLServer是一款流行的SQL数据库系统。
该系列过往版本中存在较多漏洞
四十八.加固建议
1.官方下载对应的补丁,更新修补
2.禁用该漏洞所属的服务
3.修改系统安全配置,强化该服务安全功能
4.主机防火墙阻断其端口或限制访问源IP地址或地址段
5.外部防火墙访问控制
6.隐藏信息版本,防止扫描探测
四十八.1Tomcat/Apache
四十九.类型
ApacheTomcat是一个流行的开源JSP应用服务器程序。
因版本较多,旧版本中存在较多安全漏洞
五十.加固建议
1.官方下载对应的补丁,更新修补
2.禁用该漏洞所属的服务
3.修改系统安全配置,强化该服务安全功能
4.主机防火墙阻断其端口或限制访问源IP地址或地址段
5.外部防火墙访问控制
6.隐藏信息版本,防止扫描探测
五十.1Weblogic
五十一.类型
WebLogic包含多种应用系统集成方案,包括Server/Express/Integration等。
因所使用的版本较老,管理控制台存在部分漏洞
五十二.加固建议
1.官方下载对应的补丁,更新修补
2.禁用该漏洞所属的服务
3.修改系统安全配置,强化该服务安全功能
4.主机防火墙阻断其端口或限制访问源IP地址或地址段
5.外部防火墙访问控制
6.隐藏信息版本,防止扫描探测
五十三.网络设备类漏洞修复建议
五十三.1路由器/交换机
五十四.类型
路由器/交换机等拒绝服务漏洞、信息泄露漏洞等
五十五.加固建议
1.官方下载对应的补丁,更新修补
2.禁用该漏洞所属的服务
3.修改系统安全配置,强化该服务安全功能
4.主机防火墙阻断其端口或限制访问源IP地址或地址段
5.外部防火墙访问控制
6.隐藏信息版本,防止扫描探测
五十五.1防火墙/安全设备
五十六.类型
防火墙等网络设备存在拒绝服务等漏洞
五十七.加固建议
1.官方下载对应的补丁,更新修补
2.禁用该漏洞所属的服务
3.修改系统安全配置,强化该服务安全功能
4.主机防火墙阻断其端口或限制访问源IP地址或地址段
5.外部防火墙访问控制
6.隐藏信息版本,防止扫描探测
五十八.弱口令类修复建议
五十八.1FTP/SSH/TELNET/SMB/HTTP等认证协议
五十九.漏洞类型
可认证类设备中存在脆弱账号及口令
六十.加固建议
1.修改程序或软件默认口令;
2.口令策略应符合集团账号口令要求;
3.定期(90天或180天)更换一次口令。
六十一.其他类修复建议
六十二.类型
应用程序版本较老,存在的较多漏洞问题
六十三.加固建议
1.官方下载对应的补丁,更新修补
2.禁用该漏洞所属的服务
3.修改系统安全配置,强化该服务安全功能
4.主机防火墙阻断其端口或限制访问源IP地址或地址段
5.外部防火墙访问控制
6.隐藏信息版本,防止扫描探测
升级会员 