常见漏洞整改建议Word下载.docx

常见漏洞整改建议Word下载.docx

《常见漏洞整改建议Word下载.docx》由会员分享，可在线阅读，更多相关《常见漏洞整改建议Word下载.docx（8页珍藏版）》请在冰豆网上搜索。

4）如有条件，建议部署网站防篡改设备。

2.网站暗链

网站被恶意攻击者插入大量暗链，将会被搜索引擎惩罚，降低权重值；

被插入大量恶意链接将会对网站访问者造成不良影响；

将会协助恶意网站（可能为钓鱼网站、反动网站、赌博网站等）提高搜索引擎网站排名。

可被插入暗链的网页也意味着能被篡改页面内容。

“暗链”就是看不见的网站链接，“暗链”在网站中的链接做的非常隐蔽，可能访问者并不能一眼就能识别出被挂的隐藏链接。

它和友情链接有相似之处，可以有效地提高PR值，所以往往被恶意攻击者利用。

3）建议重新安装服务器及程序源码，防止无法到检测深度隐藏的恶意程序，导致重新安装系统后攻击者仍可利用后门进入；

3.页面篡改

政府门户网站一旦被篡改将造成多种严重的后果，主要表现在以下一些方面：

1）政府形象受损；

2）影响信息发布和传播；

3）恶意发布有害违法信息及言论；

4）木马病毒传播，引发系统崩溃、数据损坏等；

5）造成泄密事件。

恶意攻击者得到网站权限篡改网站页面内容，一般多为网站首页，或者得到域名控制权限后通过修改域名A记录，域名劫持也可达到页面篡改的目的。

3）建议重新安装服务器及程序源码，防止无法检测到深度隐藏的恶意程序，导致重新安装系统后攻击者仍可利用后门进入；

4．SQL注入

这些危害包括但不局限于：

1）数据库信息泄漏：

数据库中存放的用户的隐私信息的泄露；

2）网页篡改：

通过操作数据库对特定网页进行篡改；

3）网站被挂马，传播恶意软件：

修改数据库一些字段的值，嵌入网马链接，进行挂马攻击；

4）数据库被恶意操作：

数据库服务器被攻击，数据库的系统管理员帐户被篡改；

5）服务器被远程控制安装后门，经由数据库服务器提供的操作系统支持，让黑客得以修改或控制操作系统；

6）破坏硬盘数据，瘫痪全系统；

一些类型的数据库系统能够让SQL指令操作文件系统，这使得SQL注入的危害被进一步放大。

由于程序员在编写代码的时候，没有对用户输入数据的合法性进行判断，使应用程序存在安全隐患。

攻击者可以提交一段数据库查询代码，根据程序返回的结果，获得某些攻击者想得知的数据，甚至获得管理权限。

1）修改网站源代码，对用户交互页面提交数据进行过滤，防止SQL注入漏洞产生；

2）对网站代码进行一次全面检测，查看是否有恶意程序存在；

4）如有条件，建议部署WEB应用防火墙等相关设备。

5.后台管理

站点信息的更新通常通过后台管理来实现，web应用程序开发者或者站点维护者可能使用常用的后台地址名称来管理，比如admin、manager等。

攻击者可能通过使用上述常用地址尝试访问目标站点，获取站点的后台管理地址，从而可以达到暴力破解后台登录用户口令的目的。

攻击者进入后台管理系统后可以直接对网站内容进行增加、篡改或删除。

通过使用常用的管理后台地址尝试访问目标站点，获取站点的后台管理地址，使用字典暴力猜解网站后台地址。

如后台管理的口令较弱则可能被猜解而进入管理界面，如管理登入存在注入漏洞则可能验证被绕过而直接进入管理界面。

1）为后台管理系统设置复杂访问路径，防止被攻击者轻易找到；

2）增加验证码后台登录身份验证措施，防止攻击者对后台登录系统实施自动暴力攻击；

3）修改网站源代码，对用户提交数据进行格式进行限制，防止因注入漏洞等问题导致后台验证绕过问题；

4）加强口令管理，从管理和技术上限定口令复杂度及长度。

6.攻击痕迹

网站常见的攻击痕迹：

恶意脚本痕迹、异常文件提交痕迹、异常账号建立痕迹、异常网络连接等，一旦发现网站存在攻击痕迹，说明网站已经或曾经被入侵过。

2）对网站代码进行一次全面检测，及时发现网站代码中存在的问题，查看是否有恶意程序存在；

3）建议重新安装服务器及程序源码，防止无法检测到深度隐藏的恶意程序，导致重新安装系统后攻击者仍可利用后门进入。

7.跨站脚本

1）钓鱼欺骗：

最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站，或者注入钓鱼JavaScript以监控目标网站的表单输入，甚至发起基于DHTML更高级的钓鱼攻击方式。

2）网站挂马：

跨站时利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上，或者弹出恶意网站窗口等方式都可以进行挂马攻击。

3）身份盗用：

Cookie是用户对于特定网站的身份验证标志，XSS可以盗取到用户的Cookie，从而利用该Cookie盗取用户对该网站的操作权限。

如果一个网站管理员用户Cookie被窃取，将会对网站引发严重危害。

4）盗取网站用户信息：

当能够窃取到用户Cookie从而获取到用户身份使，攻击者可以获取到用户对网站的操作权限，从而查看用户隐私信息。

5）垃圾信息发送：

如在SNS社区中，利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。

6）劫持用户Web行为：

一些高级的XSS攻击甚至可以劫持用户的Web行为，监视用户的浏览历史，发送与接收的数据等等。

7）XSS蠕虫：

XSS蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。

XSS攻击使用到的技术主要为HTML和Javascript，也包括VBScript和ActionScript等。

XSS攻击对WEB服务器虽无直接危害，但是它借助网站进行传播，使网站的使用用户受到攻击，导致网站用户帐号被窃取，从而对网站产生较严重的危害。

8.文件包含

由于开发人员编写源码，开发者将可重复使用的代码插入到单个的文件中，并在需要的时候将它们包含在特殊的功能代码文件中，然后包含文件中的代码会被解释执行。

由于并没有针对代码中存在文件包含的函数入口做过滤，导致客户端可以提交恶意构造语句，并交由服务器端解释执行。

文件包含漏洞，如果允许客户端用户输入控制动态包含在服务器端的文件，会导致恶意代码的执行及敏感信息泄露，主要包括本地文件包含和远程文件包含两种形式。

修改程序源代码，禁止服务器端通过动态包含文件方式的文件链接。

9.目录遍历

程序中如果不能正确地过滤客户端提交的../和./之类的目录跳转符，恶意者就可以通过上述符号跳转来访问服务器上的特定的目录或文件。

提交../和./之类的目录跳转符，恶意者就可以通过上述符号跳转来访问服务器上的特定的目录或文件。

加强网站访问权限控制，禁止网站目录的用户浏览权限。

10.危险端口

危害

开放危险端口（数据库、远程桌面、telnet等），可被攻击者尝试弱口令登录或暴力猜解登录口令，或利用开放的端口进行DDOS拒绝服务攻击。

弱口令尝试和暴力猜解。

整改建议

加强网站服务器的端口访问控制，禁止非必要端口对外开放。

例如数据库连接端口1433、1521、3306等；

谨慎开放远程管理端口3389、23、22、21等，如有远程管理需要，建议对端口进行更改或者管理IP进行限制。

11.信息泄露

目标网站WEB程序和服务器未屏蔽错误信息，未做有效权限控制，可能导致泄漏敏感信息，恶意攻击者利用这些信息进行进一步渗透测试。

利用方式

信息泄漏的利用方式包括但不限于以下攻击方式：

1）phpinfo信息泄漏；

2）测试页面泄漏在外网；

3）备份文件泄漏在外网；

4）版本管理工具文件信息泄漏；

5）HTTP认证泄漏；

6）泄漏员工电子邮箱漏洞以及分机号码；

7）错误详情泄漏；

8）网站真实存放路径泄漏。

1）加强网站服务器配置，对默认错误信息进行修改，避免因客户端提交的非法请求导致服务器返回敏感信息。

2）尽量不在网站目录下存放备份、测试等可能泄露网站内容的文件。

12.中间件

WEB应用程序的搭建环境会利用到中间件，如：

IIS、apache、weblogic等，而这些中间件软件都存在一些漏洞，如：

拒绝服务漏洞，代码执行漏洞、跨站脚本漏洞等。

恶意攻击者利用中间件的漏洞可快速成功攻击目标网站。

判断中间件版本，利用已公布的漏洞exp进行攻击，或挖掘识别出的版本所存在的安全漏洞。

加强网站web服务器、中间件配置，及时更新中间件安全补丁，尤其注意中间件管理平台的口令强度。

13.第三方插件

WEB应用程序很多依靠其他第三方插件搭配，如编辑器、网站框架，这些第三方插件也会存在一些漏洞，若未做安全配置，使用默认安装也会产生一些安全隐患，导致攻击者可以任意新增、读取、修改或删除应用程序中的资料，最坏的情况是造成攻击者能够完全获取整个网站和数据库的控制权限，包括修改删除网站页面、窃取数据库敏感信息，甚至以网站为跳板，获取整个内网服务器控制权限。

识别当前网站程序所涉及的第三方插件，针对第三方插件进行漏洞攻击

一些不安全的第三方插件，可能存在众多已知或未知漏洞，攻击者利用这些第三方插件漏洞，可能获取网站文件、控制服务器。

如果网站需要引入第三方插件，建议上线前进行安全检测或加固，尽量不要采用一些存在问题较多的中间件，例如fckeditor等。

14.文件上传

由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，导致允许攻击者向某个可通过Web访问的目录上传任意后缀文件，并能将这些文件传递给脚本解释器，就可以在远程服务器上执行任意脚本或恶意代码。

直接上传可被执行的脚本文件，绕过文件限制上传可被执行的脚本文件。