常见安全漏洞的处理及解决方法1.docx

1、常见安全漏洞的处理及解决方法1常见安全漏洞的处理及解决方法1Web层安全漏洞1.1.跨站点脚本编制1.1.1危害可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。1.1.2整改建议应对跨站点脚本编制的主要方法有两点：一是不要信任用户的任何输入，尽量采用白名单技术来验证输入参数；二是输出的时候对用户提供的内容进行转义处理。1.2.基于 DOM 的跨站点脚本编制1.2.1 危害可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。1.2.2 整改建议建议分

2、析并加强客户端 (JavaScript) 代码。清理攻击者所能影响的输入源。1.3.多供应商 Java Servlet 容器跨站点脚本编制1.3.1危害可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。1.3.2整改建议Tomcat 的修订程序已可用，位置如下：http:/jakarta.apache.org/tomcat/Allaire的Jrun的修订程序已可用，位置如下：如果您运行 IBM WebSphere，建议您下载最新的版本，位置如下：如果您运行的是其它不常见的应用，建议您寻求应用的官方团队支持。1.4.SQL

3、 注入1.4.1危害可能会查看、修改或删除数据库条目和表。严重的注入漏洞还可能以当然数据库用户身份远程执行操作系统命令。1.4.2整改建议补救方法在于对用户输入进行清理。通过验证用户输入，保证其中未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令，等等。1.5.SQL 盲注1.5.1危害可能会查看、修改或删除数据库条目和表1.5.2整改建议补救方法在于对用户输入进行清理。通过验证用户输入，保证其中未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意SQL 查

4、询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令，等等。1.6.启用了不安全的 HTTP 方法1.6.1危害可能会通过Web 服务器上传、修改或删除Web 页面、脚本和文件1.6.2整改建议禁用不安全的HTTP方法。1.7.HTTP参数污染攻击1.7.1危害可能绕过应用防火墙的过滤、绕过URL Rewriting的限制、攻击服务端数据、攻击客户端数据。1.7.2整改建议应用程序应正确过滤用户输入（URL编码），以防止此漏洞。1.8.文件目录遍历1.8.1危害程序中如果不能正确地过滤客户端提交的./和./之类的目录跳转符，恶意者就可以通过上述符号跳转来访问服务器上的特定的目

5、录或文件。1.8.2整改建议在程序中过滤./和./之类的目录跳转符，或者加强网站访问权限控制，禁止网站目录的用户浏览权限。1.9.Http请求头的额外的回车换行符注入1.9.1危害攻击者可能注入自定义HTTP头。例如，攻击者可以注入会话cookie或HTML代码。这可能会进行类似的XSS(跨站点脚本)或会话固定漏洞。1.9.2整改建议您需要限制用户对CR（0x13 ）和LF （0x10）的输入，或者正确编码输出，以防止自定义HTTP头的注入1.10.脚本代码暴露1.10.1危害攻击者可以收集敏感信息(数据库连接字符串，应用程序逻辑)。这些信息可以被用来发动进一步袭击。1.10.2整改建议许多方

6、式可以诱使 Web 应用程序显示其源代码。要确保应用程序不允许 Web 用户访问源代码，请执行下列操作：1 检查已安装与源代码泄露相关的所有系统补丁。2 检查未将应用程序源代码留在 HTML 注释中。3 检查已从生产环境中除去所有源代码文件。1.11.ASP.NET Padding Oracle Vulnerability1.11.1危害使用.NETFramework所编译的ASP.Net应用中没有正确地实现加密，攻击者可以解密并篡改敏感数据。1.11.2整改建议然后您可以添加一个error.html（包含您喜欢显示的任何内容）到应用程序，使其无论在遇到任何错误的时候总是返回相同的错误页面er

7、ror.html。这可以防止黑客区分不同类型的服务器上所发生的错误。微软已经为此发布了一个安全公告（MS10-070）以及相应补丁:1.12.Apache 2.2.14 mod_isapi Dangling Pointer1.12.1危害攻击者能远程提升系统权限，从而威胁到数据安全。1.12.2解决方案该漏洞只影响到在Windows上运行的Apache web server。Apache 2.2.14及早期版本的用户应该尽快升级到 Apache 最新版。1.13.Apache http server的拒绝服务漏洞1.13.1危害远程攻击者可以利用漏洞对应用程序进行拒绝服务攻击。1.13.2安全

8、建议解决办法：升级Apache 到最新版本。1.14.FCKeditor任意文件上传漏洞1.14.1危害恶意远程攻击者可以利用漏洞以WEB权限执行任意代码。进而提升权限控制目标服务器。1.14.2整改建议如果不是必需的，建议禁用FCKeditor的文件上传功能。1.15.Apache mod_rewrite模块单字节缓冲区溢出漏洞1.15.1危害攻击者可能利用此漏洞在服务器上执行任意指令。1.15.2整改建议升级Apache 到最新版本。1.16.已解密的登录请求1.16.1危害用户登录密码为明文，可通过http报文截取登录用户密码。1.16.2整改建议1. 确保所有登录请求都以加密方式发送到

9、服务器。2. 请确保敏感信息，一律以加密方式传给服务器。1.17.目录列表1.17.1危害可能会查看和下载特定 Web应用程序虚拟目录的内容，其中可能包含受限文件。1.17.2整改建议1 将 Web 服务器配置成拒绝列出目录。2 根据 Web 服务器或 Web 应用程序上现有的问题来下载特定安全补丁。部分已知的目录列表问题列在这个咨询的“引用”字段中。1.18.Microsoft FrontPage 目录列表1.18.1危害远程攻击者可以通过此漏洞获取敏感目录，进而进行下一步攻击。1.18.2整改建议请确保 Web 服务器客户端无法直接访问这类产品所创建的目录（如 CVS、RCS 或 Fron

10、tPage 目录）。请将 Web 服务器配置成这些目录都不可访问（所有一般 Web 服务器都有拒绝访问特定目录的选项）。1.19.Jquery XSS1.19.1危害可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。1.19.2整改建议将当前版本升级到jquery最新版本。1.20.会话固定1.20.1危害“会话固定”是一种攻击技术，会强制用户的会话标识变成显式值。固定会话标识值的技术有许多种，会随着目标Web 站点的功能而不同。从利用“跨站点脚本编制”到向Web 站点密集发出先前生成的HTTP 请求，都在这些技术范围内

11、。用户的会话标识固定之后，攻击者会等待用户登录，然后利用预定义的会话标识值来假定用户的联机身份。1.20.2整改建议在登陆界面后增加下面一段代码，强制让系统session过期。 request.getSession().invalidate();/清空session Cookie cookie = request.getCookies()0;/获取cookie cookie.setMaxAge(0);/让cookie过期 ；1.21.CSRF跨站请求伪造1.21.1危害攻击者可以盗用你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商

12、品，虚拟货币转账造成的问题包括：个人隐私泄露以及财产安全。1.21.2整改建议1. 验证 HTTP Referer字段： Referer为空或为外域就禁止（性价比最高，但不能保证浏览器没有漏洞，在一定程度上还可以结合XSS绕过Referer校验，比如在留言簿上发条,url为攻击url的话，此时就可生效，但前提是存在XSS漏洞）2. 在请求地址中添加 token 并验证：用户登录后往session里面写一个随机token，输出到页面时使用js将此token放到每个请求（包括form、ajax）的参数之后，收到请求时服务器端将参数中的token与session中的进行比对。（为什么攻击者拿不到此t

13、oken：因为只有受害者自己才能看到token。但不是绝对的，攻击者可以抓包得到token）3. 在HTTP 头中自定义属性并验证（将token不放到参数中，而是放到http header中） （成本最高，对老系统来说可能需要重写）4. 关键请求使用验证码1.22.Url重定向漏洞1.22.1危害通过构建URL，攻击者可以使用户重定向到任意URL，利用这个漏洞可以诱使用户访问某个页面，挂马、密码记录、下载任意文件等。1.22.2整改建议1. 对用户的输入做校验；2. 对重定向到第三方网站传参改用post3. 对一些网站可采用白名单的方式，对跳转的域名做可信判断1.23.IIS短文件/文件夹漏洞

14、1.23.1危害攻击者可以利用“”字符猜解或遍历服务器中的文件名，或对IIS服务器中的.Net Framework进行拒绝服务攻击。1.23.2整改建议1. 禁止url中使用“”或它的Unicode编码。2. 修改注册列表HKLMSYSTEMCurrentControlSetControlFileSystemNtfsDisable8dot3NameCreation的值为1，再重启下机器。(此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除)。该修改不能完全修复,只是禁止创建。3. 如果你的web环境不需要的支持你可以进入Internet 信息服务(IIS)管理器 -

15、Web 服务扩展 - ASP.NET 选择禁止此功能。（推荐修复方法，能彻底修复）4. 升级net framework 至4.0以上版本。（推荐修复方法，能彻底修复）1.24.HTML敏感信息泄露1.24.1危害可能会收集有关Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置。1.24.2整改建议1. HTML 注释中遗留任何重要信息（如文件名或文件路径）。2. 重点注释中除去以前（或未来）站点链接的跟踪信息。3. HTML 注释中放置敏感信息。4. TML 注释不包括源代码片段。5. 程序员没有遗留重要信息。1.25.通过框架钓鱼1.25.1 危害攻击者有可能注入frame

16、 或iframe 标记，其中含有类似受攻击之网站的恶意属性。不小心的用户有可能浏览它，但并不知道他正在离开原始网站，冲浪到恶意的网站。之后，攻击者便可以诱惑用户重新登录，然后获取他的登录凭证。1.25.2整改建议一是不要信任用户的任何输入，尽量采用白名单技术来验证输入参数；二是输出的时候对用户提供的内容进行转义处理。1.26.主机允许从任何域进行flash访问1.26.1危害可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。1.26.2整改建议设置crossdomain.xml 文件中allow-accessfrom实体

17、的域属性，以包含特定域名而不是任何域。把设置的“*”符号用特定域来表示。1.27.信息泄露 1.27.1危害目标网站WEB程序和服务器未屏蔽错误信息，未做有效权限控制，可能导致泄漏敏感信息，恶意攻击者利用这些信息进行进一步渗透测试。1.27.2整改建议1.加强网站服务器配置，对默认错误信息进行修改，避免因客户端提交的非法请求导致服务器返回敏感信息。2.尽量不在网站目录下存放备份、测试等可能泄露网站内容的文件。1.28.文件上传漏洞1.28.1危害由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，导致允许攻击者向某个可通过 Web 访问的目录上传任意后缀文件，并能将这些文件传递

18、给脚本解释器，就可以在远程服务器上执行任意脚本或恶意代码。1.28.2整改建议对网站所有上传接口在服务器端进行严格的类型、大小等控制，防止攻击者利用上传接口上传恶意程序。1.29.文件包含 1.29.1 危害开发者将可重复使用的代码插入到单个的文件中，并在需要的时候将它们包含在特殊的功能代码文件中，然后包含文件中的代码会被解释执行。由于并没有针对代码中存在文件包含的函数入口做过滤，导致客户端可以提交恶意构造语句，并交由服务器端解释执行。1.29.2整改建议修改程序源代码，禁止服务器端通过动态包含文件方式的文件链接。1.30.错误的页面信息1.30.1危害错误/警告消息，可能会泄露敏感信息。1.

19、30.2整改建议在编码阶段开发者对敏感页面缺乏授权保护，导致相关URL页面敏感信息泄露。建议修改错误信息。一切敏感或需要权限方可浏览的页面，包括：敏感信息中转处理页面、上传页面、管理平台页面、用户自管理页面等。2应用层2.1网站木马2.1.1危害利用IE浏览器漏洞，让IE在后台自动下载黑客放置在网站上的木马并运行（安装）这个木马，即这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始，从而实现控制访问者电脑或安装恶意软件的目的。2.1.2整改建议1)加强网站程序安全检测，及时修补网站漏洞；2)对网站代码进

20、行一次全面检测，查看是否有其余恶意程序存在；3)建议重新安装服务器及程序源码，防止有深度隐藏的恶意程序无法检测到，导致重新安装系统后攻击者仍可利用后门进入。2.2网站暗链 2.2.1危害网站被恶意攻击者插入大量暗链，将会被搜索引擎惩罚，降低权重值；被插入大量恶意链接将会对网站访问者造成不良影响；将会协助恶意网站（可能为钓鱼网站、反动网站、赌博网站等）提高搜索引擎网站排名。可被插入暗链的网页也意味着能被篡改页面内容。2.2.2整改建议1)加强网站程序安全检测，及时修补网站漏洞；2)对网站代码进行一次全面检测，查看是否有其余恶意程序存在；3)建议重新安装服务器及程序源码，防止无法到检测深度隐藏的恶

21、意程序，导致重新安装系统后攻击者仍可利用后门进入；2.3页面篡改2.3.1危害政府门户网站一旦被篡改将造成多种严重的后果，主要表现在以下一些方面： 1)政府形象受损；2)影响信息发布和传播；3)恶意发布有害违法信息及言论； 4)木马病毒传播，引发系统崩溃、数据损坏等； 5)造成泄密事件。2.3.2整改建议1)加强网站程序安全检测，及时修补网站漏洞；2)对网站代码进行一次全面检测，查看是否有其余恶意程序存在；3)建议重新安装服务器及程序源码，防止无法检测到深度隐藏的恶意程序，导致重新安装系统后攻击者仍可利用后门进入；4)如有条件，建议部署网站防篡改设备。2.4后台管理2.4.1危害站点信息的更新

22、通常通过后台管理来实现，web应用程序开发者或者站点维护者可能使用常用的后台地址名称来管理，比如admin、manager等。攻击者可能通过使用上述常用地址尝试访问目标站点，获取站点的后台管理地址，从而可以达到暴力破解后台登录用户口令的目的。攻击者进入后台管理系统后可以直接对网站内容进行增加、篡改或删除。2.4.2 整改建议1)为后台管理系统设置复杂访问路径，防止被攻击者轻易找到；2)增加验证码后台登录身份验证措施，防止攻击者对后台登录系统实施自动暴力攻击；3)修改网站源代码，对用户提交数据进行格式进行限制，防止因注入漏洞等问题导致后台验证绕过问题；4)加强口令管理，从管理和技术上限定口令复杂

23、度及长度。2.5攻击痕迹 2.5.1危害网站常见的攻击痕迹：恶意脚本痕迹、异常文件提交痕迹、异常账号建立痕迹、异常网络连接等，一旦发现网站存在攻击痕迹，说明网站已经或曾经被入侵过。2.5.2整改建议1)加强网站程序安全检测，及时修补网站漏洞；2)对网站代码进行一次全面检测，及时发现网站代码中存在的问题，查看是否有恶意程序存在；3)建议重新安装服务器及程序源码，防止无法检测到深度隐藏的恶意程序，导致重新安装系统后攻击者仍可利用后门进入。2.6危险端口 2.6.1危害开放危险端口（数据库、远程桌面、telnet等），可被攻击者尝试弱口令登录或暴力猜解登录口令，或利用开放的端口进行DDOS拒绝服务攻

24、击。2.6.2整改建议加强网站服务器的端口访问控制，禁止非必要端口对外开放。例如数据库连接端口1433、1521、3306等；谨慎开放远程管理端口3389、23、22、21等，如有远程管理需要，建议对端口进行更改或者管理IP进行限制。2.7中间件2.7.1危害WEB应用程序的搭建环境会利用到中间件，如：IIS、apache、weblogic等，而这些中间件软件都存在一些漏洞，如：拒绝服务漏洞，代码执行漏洞、跨站脚本漏洞等。恶意攻击者利用中间件的漏洞可快速成功攻击目标网站。2.7.2整改建议加强网站web服务器、中间件配置，及时更新中间件安全补丁，尤其注意中间件管理平台的口令强度。2.8第三方插

25、件2.8.1危害WEB应用程序很多依靠其他第三方插件搭配，如编辑器、网站框架，这些第三方插件也会存在一些漏洞，若未做安全配置，使用默认安装也会产生一些安全隐患，导致攻击者可以任意新增、读取、修改或删除应用程序中的资料，最坏的情况是造成攻击者能够完全获取整个网站和数据库的控制权限，包括修改删除网站页面、窃取数据库敏感信息，甚至以网站为跳板，获取整个内网服务器控制权限。2.8.2整改建议一些不安全的第三方插件，可能存在众多已知或未知漏洞，攻击者利用这些第三方插件漏洞，可能获取网站文件、控制服务器。如果网站需要引入第三方插件，建议上线前进行安全检测或加固，尽量不要采用一些存在问题较多的中间件，例如f

26、ckeditor等。2.9配置文件2.9.1危害未做严格的权限控制，恶意攻击者可直接访问配置文件，将会泄漏配置文件内的敏感信息。2.9.2整改建议加强对网站常见默认配置文件比如数据库连接文件、备份数据库等文件的管理，避免使用默认配置路径及默认格式存放，防止攻击者针对网站类型直接获取默认配置文件。2.10冗余文件2.10.1危害未做严格的权限控制，如备份信息或临时文件等冗余文件将会泄漏敏感信息。2.10.2整改建议1) 注意对网站所有目录中文件进行监控，避免将网站打包备份文件、数据库备份文件等直接存放在网站目录下；2) 定期对网站目录中文件进行比对，及时发现并清除被插入页面或上传的恶意程序。2.11系统漏洞 2.11.1危害系统漏洞问题是与时间紧密相关的。一个系统从发布的那一天起，随着用户的深入使用，系统中存在的漏洞会被不断暴露出来。如果系统中存在安全漏洞没有及时修复,并且计算机内没有防病毒软件等安全防护措施，很有可能会被病毒、木马所利用，轻则使计算机操作系统某些功能不能正常使用，重则会使用户账号密码丢失、系统破坏等。2.11.2整改建议1)及时更新网站服务器、中间件、网站应用程序等发布的安全漏洞补丁或安全增强措施；2)如果因特殊情况不宜升级补丁，则应该根据漏洞情况使用一些第三方的安全防护措施防止漏洞被利用；3)如有条件，建议经常对网站进行系统层漏洞检测。