漏洞整改建议.docx

1、漏洞整改建议1.1. 针对网站目录路径泄露整改建议统一错误代码：确保你不小心通过提供不一致或“冲突”的错误消息给攻击者。信息错误消息：确保错误信息不透露太多的信息。完全或部分路径，变量和文件名，行和表中的列名，和特定的数据库的错误不应该透露给最终用户。适当的错误处理：利用通用的错误页面和错误处理逻辑，告知潜在的问题的最终用户。不提供系统信息或可能被攻击者利用精心策划的攻击时，其它数据。1.2. 针对文件上传漏洞整改建议文件上传功能允许 Web 用户将文件从自己的计算机发送到 Web 服务器。如果用于接收文件的 Web 应用程序未仔细检查此文件是否包含恶意内容，那么攻击者也许能够通过上传文件在服

2、务器上执行任意命令。建议采取严格的文件上传策略，通过清理和筛选避免上传恶意材料。限制文件上传的类型，检查的文件扩展名，只允许特定的文件上传。用白名单的方式而不是一个黑名单。检查双扩展，如.php.png。检查的文件没有文件 名一样。htaccess（对ASP.NET配置文件，检查网络配置。）。改变对上传文件夹的权限，文件在此文件夹中不可执行。如果可能的话，重命名上传文件。可能会在 Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件在文件上载过程中，限制用户能力和许可权：1 确保上载脚本只能控制上载的文件名和位置。

3、2 不上载脚本文件，如 asp、aspx、php、jsp 等。只允许上载静态内容。3 只允许上载预期的文件类型。例如，如果您预期纯文本文件，便只允许 .txt 扩展名。4 验证上载的文件内容。如果您预期纯文本文件，请确保它不含二进制字符或动态脚本部分。1.3. 针对Robot.txt文件WEB站点结构泄露漏洞整改建议可能会检索有关站点文件系统结构的信息，这可能会帮助攻击者映射此 Web 站点。1、 robots.txt 文件不应用来保护或隐藏信息 2、 您应该将敏感的文件和目录移到另一个隔离的子目录，以便将这个目录排除在 Web Robot 搜索之外。如下列示例所示，将文件移到“folder”

4、之类的非特定目录名称是比较好的解决方案： New directory structure: /folder/passwords.txt /folder/sensitive_folder/ New robots.txt: User-agent: * Disallow: /folder/ 3、 如果您无法更改目录结构，且必须将特定目录排除于 Web Robot 之外，在 robots.txt 文件中，请只用局部名称。虽然这不是最好的解决方案，但至少它能加大完整目录名称的猜测难度。例如，如果要排除“sensitive_folder”和 “passwords.txt”，请使用下列名称（假设 Web 根

5、目录中没有起始于相同字符的文件或目录）： robots.txt: User-agent: * Disallow: /se Disallow: /pa1.4. 针对源代码泄露漏洞整改建议攻击者可以收集敏感信息（数据库连接字符串，应用程序逻辑）的源代码分析。该信息可以被用来进行进一步的攻击。1、 建议升级最新tomcat中间件。2、 建议在tomcat的conf/web.xml文件里加入大写.JSP映射。即 JSP *.JSP 1.5. 针对SVN库发现漏洞整改建议这些文件可以公开敏感信息，有助于一个恶意用户准备更进一步的攻击。从生产系统中删除这些文件或限制访问.svn目录。拒绝访问所有你需要在适

6、当的范围内添加以下几行svn文件夹（或者全局配置, 或者 vhost/directory, 或者是 .htaccess)。Order allow,denyDeny from all1.6. 针对网络端口未限制漏洞的整改建议1、 建议明确每个端口对应的服务进程，根据系统和应用的要求，关闭系统中不必要的服务进程2、 建议明确服务器的对外和对内的服务用途，关闭系统中不必要的服务端口（如139、445等）。3、 如果需要对外开放其他端口，建议采用IP地址限制（例如：3389端口）。4、 建议防火墙关闭不需要的端口，只开放对外提供服务的端口（例如：80端口）。远程攻击者可以根据端口号来判断服务器有哪些应

7、用，并根据相应的应用采取对应攻击，为黑客提供了更多攻击途径与手段。1.1 针对SQL注入漏洞的整改建议每个提交信息的客户端页面，通过服务器端脚本（JSP、ASP、ASPX、PHP等脚本）生成的客户端页面，提交的表单（FORM）或发出的连接请求中包含的所有变量，必须对变量的值进行检查。过滤其中包含的特殊字符，或对字符进行转义处理。特殊字符包括：SQL语句关键词：如 and 、or 、select、declare、update、xp_cmdshell；SQL语句特殊符号：、”、;等；此外，Web应用系统接入数据库服务器使用的用户不应为系统管理员，用户角色应遵循最小权限原则；具体建议如下：1、 严格

8、定义应用程序可接受的数据类型（例如，字符串、字母数字字符等）。 2、 使用肯定的定义而非否定的定义。验证输入中是否存在不正确的字符。采用这样一种基本原理：使用肯定的定义而非否定的定义。有关详细信息，请参阅下面的代码示例。 3、 不要向最终用户显示提供的信息（如表名）可用于策划攻击的错误消息。 4、 定义受允许的字符集。例如，如果某个字段要接受数字，请使该字段仅接受数字。 5、 定义应用程序接受的最大和最小数据长度。 6、 指定输入可接受的数字范围。1.7. 针对跨站脚本漏洞整改建议每个提交信息的客户端页面，通过服务器端脚本（JSP、ASP、ASPX、PHP等脚本）生成的客户端页面，提交的表单（

9、FORM）或发出的连接请求中包含的所有变量，必须对变量的值进行检查。过滤其中包含的特殊字符，或对字符进行转义处理。特殊字符包括：HTML标签的符号、“符号、符号、%符号等，以及这些符号的Unicode值；客户端脚本（Javascript、VBScript）关键字：javascript、script等；此外，对于信息搜索功能，不应在搜索结果页面中回显搜索内容。同时应设置出错页面，防止Web服务器发生内部错误时，错误信息返回给客户端。1.8. 针对Fckeditor编辑器漏洞整改建议1、 删除FCKeditor测试页面。2、 升级最新版FCKeditor编辑器1.9. 针对任意文件下载漏洞整改建议

10、1、 禁止用文件名的方式访问网站目录的文件。2、 访问的文件名必须限制在规定的目录内，禁止越权使用别的目录1.10. URL跳转漏洞漏洞类型： URL跳转漏洞 详细说明：Web应用程序接收到用户提交的URL参数后，没有对参数做“可信任URL”的验证，就向用户浏览器返回跳转到该URL的指令。黑客可以通过URL跳转漏洞进行钓鱼窃取账号 修复方案： 保证用户所点击的URL，是从web应用程序中生成的URL，所以要做TOKEN验证。 1.11. 检测到应用程序测试脚本可能会下载临时脚本文件，这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息 不可将测试/暂时脚本遗留在服务器上，未来要避免出现这个

11、情况。确保服务器上没有非正常操作所必备的其他脚本。1.12. Apache TraceEnable可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务譯者：Nica 【Nica 註：這是 httpd.conf 檔裡的設定指令!】Description: Determines the behaviour on TRACE requestsSyntax: TraceEnable on|off|extendedDefault: TraceEnable onContext: server configStatus: CoreMod

12、ule: coreCompatibility: Available in Apache 1.3.34, 2.0.55 and laterTraditionally experts will suggest to disable this using some rewrite rules like:RewriteEngine OnRewriteCond %REQUEST_METHOD TRACERewriteRule .* - F(this needs to be added somewhere in your main apache config file outside of any vho

13、st or directory config).Still this has the disadvantage that you need to have mod_rewrite enabled on the server just to mention one. But for apache versions newer than 1.3.34 for the legacy branch, and 2.0.55 (or newer) for apache2 this can be done very easily because there is a new apache variable

14、that controls if TRACE method is enabled or not:TraceEnable off解决方案: 禁用这些方式。1、在各虚拟主机的配置文件里添加如下语句: 在confhttp.conf里解除LoadModule rewrite_module modules/mod_rewrite.so的注释再增加 RewriteEngine onRewriteCond %REQUEST_METHOD (TRACE|TRACK)RewriteRule .* - F2、Available in Apache 1.3.34, 2.0.55 and laterTraceEnab

15、le off1.13. tomcat下禁止不安全的http方法如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序 WebDAV （Web-based Distributed Authoring and Versioning）是基于 HTTP 1.1 的一个通信协议。它为 HTTP 1.1 添加了一些扩展（就是在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法），使得应用程序可以直接将文件写到 Web Server 上，并且在写文件时候可以对文件加锁，写完后对文件解锁，还可以支持对文件所做的版本控制。这个协议的出现极大地增加了 We

16、b 作为一种创作媒体对于我们的价值。基于 WebDAV 可以实现一个功能强大的内容管理系统或者配置管理系统。 现在主流的WEB服务器一般都支持WebDAV，使用WebDAV的方便性，呵呵，就不用多说了吧，用过VS.NET开发ASP.NET应用的朋友就应该 知道，新建/修改WEB项目，其实就是通过WebDAV+FrontPage扩展做到的，下面我就较详细的介绍一下，WebDAV在tomcat中的配 置。如何禁止DELETE、PUT、OPTIONS、TRACE、HEAD等协议访问应用程序应用程序呢？解决方法第一步：修改应用程序的web.xml文件的协议Xml代码 1. 2. 第二步：在应用程序的w

17、eb.xml中添加如下的代码即可Xml代码 1. 2. 3. /*4. PUT5. DELETE6. HEAD7. OPTIONS8. TRACE9. 10. 11. 12. 13. 14. BASIC15. 重新部署程序，重启tomcat即可完成如果用户要验证既可以将POST和GET也添加在其中，重新部署并启动tomcat即可看到效果以上的代码添加到某一个应用中，也可以添加到tomcat的web.xml中，区别是添加到某一个应用只对某一个应用有效如果添加到tomcat的web.xml中，则对tomcat下所有的应用有效。(转)启用了不安全的HTTP方法2013-04-26 15:28:56|

18、分类： spring mvc |字号订阅 原文地址：安全风险： 可能会在Web 服务器上上载、修改或删除Web 页面、脚本和文件。可能原因： Web 服务器或应用程序服务器是以不安全的方式配置的。修订建议： 如果服务器不需要支持WebDAV，请务必禁用它，或禁止不必要的HTTP 方法。方法简介：除标准的GET和POST方法外，HTTP请求还使用其他各种方法。许多这类方法主要用于完成不常见与特殊的任务。如果低权限用户可以访问这些方法，他们就能够以此向应用程序实施有效攻击。以下是一些值得注意的方法： PUT 向指定的目录上载文件 DELETE删除指定的资源 COPY 将指定的资源复制到Destin

19、ation消息头指定的位置 MOVE 将指定的资源移动到Destination消息头指定的位置 SEARCH 在一个目录路径中搜索资源 PROPFIND 获取与指定资源有关的信息，如作者、大小与内容类型 TRACE 在响应中返回服务器收到的原始请求其中几个方法属于HTTP协议的WebDAV（Web-based Distributed Authoring and Versioning）扩展。渗透测试步骤：使用OPTIONS方法列出服务器使用的HTTP方法。注意，不同目录中激活的方法可能各不相同。许多时候，被告知一些方法有效，但实际上它们并不能使用。有时，即使OPTIONS请求返回的响应中没有列出

20、某个方法，但该方法仍然可用。手动测试每一个方法，确认其是否可用。使用curl测试：curl -v -X OPTIONS 查看响应的 Allow: GET, HEAD, POST, PUT, DELETE, OPTIONScurl -v -T test.html 看是否能上载来判断攻击是否生效。找一个存在的页面，如test2.htmlcurl -X DELETE 如果删除成功，则攻击有效。解决方案：如tomcat，配置web.xml fortune /* PUT DELETE HEAD OPTIONS TRACE BASIC重启tomcat即可完成。以上的代码添加到某一个应用中，也可以添加到to

21、mcat的web.xml中，区别是添加到某一个应用只对某一个应用有效，如果添加到tomcat的web.xml中，则对tomcat下所有的应用有效。1.14. 针对启用了Microsoft ASP.NET Debugging整改建议对所有易受攻击的目录禁用调试。要禁用调试，请如下所述编辑 web.config 文件：可能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置 1.15. 针对Apache（tomcat）默认示例页面漏洞整改建议 将 Web 服务器配置成拒绝列出目录。根据 Web 服务器或 Web 应用程序上现有的问题来下载特定安全补丁。部分已知的目录列表

22、问题列在这个咨询的“引用”字段中。可能会查看和下载特定 Web 应用程序虚拟目录的内容，其中可能包含受限文件1.16. 针对直接访问管理页面漏洞的整改建议可能会升级用户特权并通过 Web 应用程序获取管理许可权不具备适当的授权，便禁止访问管理脚本，因为攻击者可能会因而获取特许权利。漏洞描述在测试的过程中发现应用系统的管理后台地址存在泄漏的风险，应用系统的管理后台地址过于简单攻击者可以轻易的猜解到进行更一步的攻击。漏洞危害应用系统管理后台地址太简单，导致攻击者可以轻易猜测到应用系统的管理后台地址，进而通过fuzzer等技术破解后台密码或通过其他技术攻击应用系统。安全建议为应用程序管理后台配置一个

23、复杂的地址，防止非法访问者得到管理后台访问权。1.17. 针对Apache、PHP版本低漏洞的整改建议1、 将您的 Apache Web 服务器升级到最新的可能版本。您可以下载补丁，链接位置如下： http:/www.apache.org/dist/httpd/2、 将您的PHP服务器升级到最新的可能版本。您可以下载补丁，链接位置如下：恶意攻击者可以利用各种版本漏洞进行攻击，会导致服务器拒绝服务影响服务器的正常运行。1.18. 针对PHPinfo信息泄露漏洞的整改建议禁止在代码中使用phpinfo()函数。1.19. 针对URL重定向漏洞的整改建议保证用户所点击的URL，是从web应用程序中生

24、成的URL，所以要做正确过滤用户输入。1.20. 针对Flash 参数 AllowScriptAccess 已设置为 always漏洞整改建议请将 AllowScriptAccess 参数设为“sameDomain”，告诉 Flash 播放器，只有从父 SWF 的相同域中装入的 SWF 文件有对托管 Web 页面的脚本访问权。 1.21. 主机允许从任何域进行 flash 访问可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务 请安装 crossdomain.xml 文件中 allow-access-from 实体的 d

25、omain 属性来包括特定域名，而不是任何域。1.22. 针对网站后台管理口令弱漏洞整改建议加强口令强度，建议密码为8位以上以字母、数字、符号的组合。建议用户对网站后台采取IP授权管理，只有被认证的IP可以远程访问网站后台。1.23. 目录列表危害攻击者在您的应用程序服务器上发现“目录列表”所带来的风险取决于所发现的目录类型以及其中包含的文件类型。可访问目录列表的主要威胁是，数据文件、源代码或开发中的应用程序等隐藏文件将对于潜在攻击者可见。除访问包含敏感信息的文件以外，其他风险包含攻击者利用在该目录中发现的信息执行其他类型的攻击。可能会查看和下载特定 Web 应用程序虚拟目录的内容，其中可能包

26、含受限文件 整改建议对于开发部门： 除非您主动参与实施 Web 应用程序服务器，否则对于因攻击者找到目录列表而可能发生的问题，尚没有太多可用的解决方案。此问题将主要由 Web 应用程序服务器管理员解决。但是，可以采取一些措施来帮助保护 Web 应用程序。 限制只有那些确实需要的人员才可以访问重要文件和目录。 确保包含敏感信息的文件不可公开访问，或者遗留在文件中的注释不会泄漏机密目录的位置。对于安全运营部门：保证 Web 应用程序安全性最重要的一个方面是，限制只有那些确实需要访问的人员才可以访问重要文件和目录。确保不要将 Web 应用程序的专有体系结构暴露给任何希望查看该结构的人员，因为即使表面上看似无害的目录也可能向潜在攻击者提供重要信息。以下建议可帮助您避免无意中允许对可用于进行攻击的信息和存储在可公开访问目录中的专有数据进行访问。 在您使用的任何应用程序服务器软件包中关闭自动目录列表功能。 限制只有那些确实