网站漏洞修复建议祥解.docx

1、网站漏洞修复建议祥解漏洞修复建议 目 录 一. 应用层漏洞修复建议 51.1 A1-注入 51.1.1 描述 51.1.2 危害 51.1.3 案例 61.1.4 加固建议 61.2 A1-失效的身份认证和会话管理 71.2.1 描述 71.2.2 危害 71.2.3 案例 81.2.4 加固建议 81.3 A3-跨站脚本 91.3.1 描述 91.3.2 危害 91.3.3 案例 91.3.4 加固建议 91.4 A4-不安全的直接对象引用 101.4.1 描述 101.4.2 危害 101.4.3 案例 111.4.4 加固建议 111.5 A5-安全配置错误 111.5.1 类型 111

2、.5.2 危害 121.5.3 案例 121.5.4 加固建议 121.6 A6-敏感数据泄露 131.6.1 类型 131.6.2 危害 131.6.3 案例 131.6.4 加固建议 141.7 A7-缺乏功能层次的访问控制 141.7.1 类型 141.7.2 危害 141.7.3 案例 141.7.4 加固建议 151.8 A8-跨站请求伪造 151.8.1 类型 151.8.2 危害 151.8.3 案例 161.8.4 加固建议 161.9 A9-使用含已知漏洞的组件 161.9.1 类型 161.9.2 危害 171.9.3 案例 171.9.4 加固建议 171.10 A10-

3、未验证的重定向和跳转 171.10.1 类型 171.10.2 危害 171.10.3 案例 181.10.4 加固建议 18二. 主机层漏洞修复建议 182.1 Windows 182.1.1 类型 182.1.2 加固建议 192.2 Unix/Linux 192.2.1 类型 192.2.2 加固建议 192.3 Oracle 192.3.1 类型 192.3.2 加固建议 192.4 Mysql 202.4.1 类型 202.4.2 加固建议 202.5 SQL Server 202.5.1 类型 202.5.2 加固建议 202.6 Tomcat/Apache 212.6.1 类型

4、212.6.2 加固建议 212.7 Weblogic 212.7.1 类型 212.7.2 加固建议 21三. 网络设备类漏洞修复建议 223.1 路由器/交换机 223.1.1 类型 223.1.2 加固建议 223.2 防火墙/安全设备 223.2.1 类型 223.2.2 加固建议 22四. 弱口令类修复建议 234.1 FTP/SSH/TELNET/SMB/HTTP等认证协议 234.1.1 漏洞类型 234.1.2 加固建议 23五. 其他类修复建议 235.1.1 类型 235.1.2 加固建议 23六. 附件 24一. 应用层漏洞修复建议一.1 A1-注入1.1.1 描述注入攻

5、击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器，这些恶意数据可以欺骗解释器，从而执行计划外的命令或者未授权访问数据。注入漏洞通常能在SQL查询、LDAP查询、OS命令、程序参数等中出现1.1.2 危害注入能导致数据丢失或数据破坏、缺乏可审计性或是拒绝服务。注入漏洞有时甚至能导致完全接管主机1.1.3 案例1.1.4 加固建议1.在网页代码中需要对用户输入的数据进行严格过滤。2.网络中部署Web应用防火墙3.对所有用户输入字符进行转义4.参数化查询5.通过存储过程预先定义并存放在6.对数据库操作进行监控建议过滤出所有以下字符： 1

6、|（竖线符号） 2 & （& 符号） 3;（分号） 4 $（美元符号） 5 %（百分比符号） 6 （at 符号） 7 （单引号） 8 “（引号） 9 （反斜杠转义单引号） 10 ”（反斜杠转义引号） 11 （尖括号） 12 ()（括号） 13 +（加号） 14 CR（回车符，ASCII 0x0d） 15 LF（换行，ASCII 0x0a） 16 ,（逗号） 17 （反斜杠）一.2 A1-失效的身份认证和会话管理二. 描述与认证和会话管理相关的应用程序功能往往得不到正确管理，这就导致攻击者破坏密码、密匙、会话令牌或利用实施漏洞冒充其他用户身份。三. 危害这些漏洞可能导致部分甚至全部帐户遭受攻击。

7、一旦攻击成功，攻击者能执行合法用户的任何操作。因此特权帐户会造成更大的破坏。四. 案例五. 加固建议1、区分公共区域和受限区域2、对最终用户帐户使用帐户锁定策略3、支持密码有效期4、能够禁用帐户5、不要在用户存储中存储密码6、要求使用强密码7、不要在网络上以纯文本形式发送密码8、保护身份验证 Cookie9、使用 SSL 保护会话身份验证 Cookie10、对身份验证 cookie 的内容进行加密11、限制会话寿命12、避免XX访问会话状态五.1 A3-跨站脚本六. 描述跨站脚本是最普遍的web应用安全漏洞。当应用程序在发送给浏览器的页面中包含用户提供的数据，但没有经过适当验证或转译，就会导致

8、跨站脚本漏洞。目前常见的3中XSS漏洞：1）存储式；2）反射式；3）基于DOM。七. 危害攻击者能在受害者浏览器中执行脚本以劫持用户会话、迫害网站、插入恶意内容、重定向用户、使用恶意软件劫持用户浏览器等等。八. 案例九. 加固建议1、区分公共区域和受限区域2、对最终用户帐户使用帐户锁定策略3、支持密码有效期4、能够禁用帐户5、不要在用户存储中存储密码6、要求使用强密码7、不要在网络上以纯文本形式发送密码8、保护身份验证 Cookie9、使用 SSL 保护会话身份验证 Cookie10、对身份验证 cookie 的内容进行加密11、限制会话寿命12、避免XX访问会话状态九.1 A4-不安全的直接

9、对象引用一十. 描述所谓直接引用不安全的对象，即Insecuredirectobjectreferences，意指一个已经授权的用户，通过更改访问时的一个参数，从而访问到原本其并没有得到授权的对象。Web应用往往在生成Web页面时会用它的真实名字，且并不会对所有的目对象访问时来检查用户权限，所以这就造成不安全的对象直接引用的漏洞。我们看如下的一个示例，也许这样就更容易理解什么是不安全的对象直接引用。攻击者发现他自己的参数是6065，即?acct=6065；他可以直接更改参数为6066，即?acct=6066；这样他就可以直接看到6066用户的账户信息一十一. 危害这种漏洞能损害参数所引用的所有

10、数据。除非名字空间很稀疏，否则攻击者很容易访问该类型的所有数据。一十二. 案例一十三. 加固建议1.使用非直接的对象引用这防止了攻击者直接访问其并未授权的对象，通过一种mapping或是其他的方法让攻击者无法直接访问。2.检查访问对每一个来自于不信任的源的直接对象引用都必须包含访问控制检查，从而确信该用户对该对象拥有访问权。一十三.1 A5-安全配置错误一十四. 类型安全配置错误可以发生在一个应用程序堆栈的任何层面，包括平台、Web服务器、应用服务器、数据库、架构和自定义代码。攻击者通过访问默认账户、未使用的网页、未安装补丁的漏洞、未被保护的文件和目录等，以获得对系统未授权的访问。一十五. 危

11、害系统可能在未知的情况下被完全攻破，用户数据可能随着时间推移而被全部盗走或者篡改。一十六. 案例一十七. 加固建议1.验证你的系统的安全配置2.可使用自动化的安全配置向导；3.必须覆盖整个平台和系统；4.对所有组件都必须保证安装了最新的补丁；5.完善分析变更带来的安全影响6.对所有你做的安全配置进行记录7. 使用自动化扫描工具对你的系统进行验证。一十七.1 A6-敏感数据泄露一十八. 类型保护与加密敏感数据已经成为网络应用的最重要的组成部分。最常见的漏洞是应该进行加密的数据没有进行加密。使用加密的情况下常见问题是不安全的密钥和使用弱算法加密。一十九. 危害攻击者能够盗取或篡改机密的或私有的信息

12、攻击者通过这些秘密信息而进行下一步的攻击造成企业声誉破损，用户满意度下降，甚至会有法律诉讼等。二十. 案例二十一. 加固建议1、删除此类文件2、限制此类文件的访问权限。二十一.1 A7-缺乏功能层次的访问控制二十二. 类型有时功能级的保护是通过系统配置管理的，当系统配置错误时，开发人员必须做相应的代码检查，否则应用程序不能正确的保护页面请求。攻击者就是利用这种漏洞访问XX的功能模块。二十三. 危害攻击者很容易就把网址改成享有特权的网页，这样就可以使用匿名或普通用户访问未受保护的私人页面，从而提升未授权功能和相关数据信息。二十四. 案例二十五. 加固建议导航栏中，如果没有权限访问的，就隐藏掉具体

13、页面中的按钮也是这样的处理方式，隐藏不要禁用（就是用户不能操作的，就不要让用户看到）二十五.1 A8-跨站请求伪造二十六. 类型跨站请求伪造CSRF，是利用了网站允许攻击者预测特定操作的所有细节这一特点。由于浏览器自动发送会话cookie等认证凭证，导致攻击者能够创建恶意的web页面来产生伪造请求。这些伪造的请求很难和合法的请求区分开。CSRF听起来像跨站脚本（XSS），但它与XSS不同，并且攻击方式几乎相左。XSS利用站点内的信任用户，而CSRF则通过伪装来自受信任用户的请求来利用受信任的网站。二十七. 危害攻击者能够让受害用户修改任何允许修改的数据，执行任何用户允许的操作。例如修改密码、登

14、陆注销等。二十八. 案例二十九. 加固建议1.对于重要操作，建议采用POST方法替代GET方法，可有效提高攻击者利用的难度。 2.对于重要操作，建议在完成操作前给予用户提示信息。 3.在服务器端增加Referer请求字段的验证。二十九.1 A9-使用含已知漏洞的组件三十. 类型开发人员使用的组件也会含有漏洞，这些漏洞能够被自动化工具发现和利用。然后攻击者根据需要定制攻击代码并实施攻击。三十一. 危害根据漏洞的级别，严重的可能造成主机被完全接管和数据泄漏。三十二. 案例三十三. 加固建议1、升级所采用的组件2、修改组件安全配置，降低攻击所产生的危害三十三.1 A10-未验证的重定向和跳转三十四.

15、 类型应用程序经常将用户重定向到其他网页，或以类似的方式进行内部转发。当目标网页是通过一个未验证的参数来指定时，就容易被攻击者利用。攻击者通过诱使受害人去点击未经验证的重定向链接，从而利用不安全的转发绕过安全检测。三十五. 危害攻击者通过重定向可以试图安装恶意软件或者诱使受害人泄露密码等敏感信息，通过转发可以绕过访问控制。三十六. 案例三十七. 加固建议1.Referer的限制，确定传递URL参数进入的来源，保证该URL的有效性，避免恶意用户自己生成跳转链接2.加入有效性验证Token，通过在生成的链接里加入用户不可控的Token对生成的链接进行校验，可以避免用户生成自己的恶意链接从而被利用，

16、但是如果功能本身要求比较开放，可能导致有一定的限制三十八. 主机层漏洞修复建议三十八.1 Windows三十九. 类型Microsoft Windows是微软发布的非常流行的操作系统。该系列各版本存在较多层面漏洞四十. 加固建议1.官方下载对应的补丁，更新修补2.禁用该漏洞所属的服务3.修改系统安全配置，强化该服务安全功能4.主机防火墙阻断其端口或限制访问源IP地址或地址段5.外部防火墙访问控制6.隐藏信息版本，防止扫描探测四十.1 Unix/Linux四十一. 类型Linux Kernel是开放源码操作系统Linux所使用的内核。该系列各内核及默认的服务存在较多漏洞四十二. 加固建议1.官方

17、下载对应的补丁，更新修补2.禁用该漏洞所属的服务3.修改系统安全配置，强化该服务安全功能4.主机防火墙阻断其端口或限制访问源IP地址或地址段5.外部防火墙访问控制6.隐藏信息版本，防止扫描探测四十二.1 Oracle四十三. 类型Oracle Database是一款商业性质大型数据库系统。过往该厂家定期会公布紧急补丁公告，同时会修复多个漏洞四十四. 加固建议1.官方下载对应的补丁，更新修补2.禁用该漏洞所属的服务3.修改系统安全配置，强化该服务安全功能4.主机防火墙阻断其端口或限制访问源IP地址或地址段5.外部防火墙访问控制6.隐藏信息版本，防止扫描探测四十四.1 Mysql四十五. 类型Or

18、acle MySQL Server是一个轻量的关系型数据库系统。该类型因部分组件及版本较老，存在较多安全漏洞四十六. 加固建议1.官方下载对应的补丁，更新修补2.禁用该漏洞所属的服务3.修改系统安全配置，强化该服务安全功能4.主机防火墙阻断其端口或限制访问源IP地址或地址段5.外部防火墙访问控制6.隐藏信息版本，防止扫描探测四十六.1 SQL Server四十七. 类型Microsoft SQL Server是一款流行的SQL数据库系统。该系列过往版本中存在较多漏洞四十八. 加固建议1.官方下载对应的补丁，更新修补2.禁用该漏洞所属的服务3.修改系统安全配置，强化该服务安全功能4.主机防火墙阻

19、断其端口或限制访问源IP地址或地址段5.外部防火墙访问控制6.隐藏信息版本，防止扫描探测四十八.1 Tomcat/Apache四十九. 类型Apache Tomcat是一个流行的开源JSP应用服务器程序。因版本较多，旧版本中存在较多安全漏洞五十. 加固建议1.官方下载对应的补丁，更新修补2.禁用该漏洞所属的服务3.修改系统安全配置，强化该服务安全功能4.主机防火墙阻断其端口或限制访问源IP地址或地址段5.外部防火墙访问控制6.隐藏信息版本，防止扫描探测五十.1 Weblogic五十一. 类型WebLogic包含多种应用系统集成方案，包括Server/Express/Integration等。因

20、所使用的版本较老，管理控制台存在部分漏洞五十二. 加固建议1.官方下载对应的补丁，更新修补2.禁用该漏洞所属的服务3.修改系统安全配置，强化该服务安全功能4.主机防火墙阻断其端口或限制访问源IP地址或地址段5.外部防火墙访问控制6.隐藏信息版本，防止扫描探测五十三. 网络设备类漏洞修复建议五十三.1 路由器/交换机五十四. 类型路由器/交换机等拒绝服务漏洞、信息泄露漏洞等五十五. 加固建议1.官方下载对应的补丁，更新修补2.禁用该漏洞所属的服务3.修改系统安全配置，强化该服务安全功能4.主机防火墙阻断其端口或限制访问源IP地址或地址段5.外部防火墙访问控制6.隐藏信息版本，防止扫描探测五十五.

21、1 防火墙/安全设备五十六. 类型防火墙等网络设备存在拒绝服务等漏洞五十七. 加固建议1.官方下载对应的补丁，更新修补2.禁用该漏洞所属的服务3.修改系统安全配置，强化该服务安全功能4.主机防火墙阻断其端口或限制访问源IP地址或地址段5.外部防火墙访问控制6.隐藏信息版本，防止扫描探测五十八. 弱口令类修复建议五十八.1 FTP/SSH/TELNET/SMB/HTTP等认证协议五十九. 漏洞类型可认证类设备中存在脆弱账号及口令六十. 加固建议1.修改程序或软件默认口令；2.口令策略应符合集团账号口令要求；3.定期（90天或180天）更换一次口令。六十一. 其他类修复建议六十二. 类型应用程序版本较老，存在的较多漏洞问题六十三. 加固建议1.官方下载对应的补丁，更新修补2.禁用该漏洞所属的服务3.修改系统安全配置，强化该服务安全功能4.主机防火墙阻断其端口或限制访问源IP地址或地址段5.外部防火墙访问控制6.隐藏信息版本，防止扫描探测