常见安全漏洞的处理及解决方法1

2020-07-01 10:23

Web层安全漏洞 ...................................................................................................................... 4 1.1. 跨站点脚本编制 ....................................................................................................... 4

1.1.1 危害 ................................................................................................................... 4 1.1.2 整改建议 ........................................................................................................... 4 1.2. 基于 DOM 的跨站点脚本编制 .............................................................................. 4

1.2.1 危害......................................................................................................................... 4 1.2.2 整改建议 ................................................................................................................. 4 1.3. 多供应商 Java Servlet 容器跨站点脚本编制 ........................................................ 4

1.3.1危害.......................................................................................................................... 4 1.3.2整改建议 .................................................................................................................. 5 1.4. SQL 注入 .................................................................................................................. 5

1.4.1危害.......................................................................................................................... 5 1.4.2整改建议 .................................................................................................................. 5 1.5. SQL 盲注 .................................................................................................................. 5

1.5.1危害.......................................................................................................................... 5 1.5.2整改建议 .................................................................................................................. 5 1.6. 启用了不安全的 HTTP 方法 .................................................................................. 6

1.6.1危害.......................................................................................................................... 6 1.6.2整改建议 .................................................................................................................. 6 1.7. HTTP参数污染攻击 ................................................................................................. 6

1.7.1危害.......................................................................................................................... 6 1.7.2整改建议 .................................................................................................................. 6 1.8. 文件目录遍历 ........................................................................................................... 6

1.8.1危害.......................................................................................................................... 6 1.8.2整改建议 .................................................................................................................. 6 1.9. Http请求头的额外的回车换行符注入 ................................................................... 7

1.9.1危害.......................................................................................................................... 7 1.9.2整改建议 .................................................................................................................. 7 1.10. 脚本代码暴露 ........................................................................................................... 7

1.10.1危害........................................................................................................................ 7 1.10.2整改建议 ................................................................................................................ 7 1.11. ASP.NET Padding Oracle Vulnerability ....................................................................... 7 1.11.1危害........................................................................................................................ 7

1.11.2整改建议 ................................................................................................................ 7 1.12. Apache 2.2.14 mod_isapi Dangling Pointer .............................................................. 8

1.12.1危害........................................................................................................................ 8 1.12.2解决方案 ................................................................................................................ 8 1.13. Apache http server的拒绝服务漏洞 ....................................................................... 8

1.13.1危害........................................................................................................................ 8 1.13.2安全建议 ................................................................................................................ 8 1.14. FCKeditor任意文件上传漏洞 .................................................................................. 8

1.14.1危害........................................................................................................................ 8 1.14.2整改建议 ................................................................................................................ 8 1.15. Apache mod_rewrite模块单字节缓冲区溢出漏洞 ................................................ 9

1.15.1危害........................................................................................................................ 9 1.15.2整改建议 ................................................................................................................ 9 1.16. 已解密的登录请求 ................................................................................................... 9

1.16.1危害........................................................................................................................ 9 1.16.2整改建议 ................................................................................................................ 9 1.17. 目录列表 ................................................................................................................... 9

1.17.1危害........................................................................................................................ 9 1.17.2整改建议 ................................................................................................................ 9 1.18. Microsoft FrontPage 目录列表 .............................................................................. 10

1.18.1危害...................................................................................................................... 10 1.18.2整改建议 .............................................................................................................. 10 1.19. Jquery XSS ............................................................................................................... 10

1.19.1危害...................................................................................................................... 10 1.19.2整改建议 .............................................................................................................. 10 1.20. 会话固定 ................................................................................................................. 10

1.20.1危害...................................................................................................................... 10 1.20.2整改建议 .............................................................................................................. 10 1.21. CSRF跨站请求伪造 ................................................................................................ 11

1.21.1危害...................................................................................................................... 11 1.21.2整改建议 .............................................................................................................. 11 1.22. Url重定向漏洞 ....................................................................................................... 11

1.22.1危害...................................................................................................................... 11 1.22.2整改建议 .............................................................................................................. 11 1.23. IIS短文件/文件夹漏洞 .......................................................................................... 12

1.23.1危害...................................................................................................................... 12 1.23.2整改建议 .............................................................................................................. 12 1.24. HTML敏感信息泄露 .............................................................................................. 12

1.24.1危害...................................................................................................................... 12 1.24.2整改建议 .............................................................................................................. 12 1.25. 通过框架钓鱼 ......................................................................................................... 13

1.25.1 危害..................................................................................................................... 13 1.25.2整改建议 .............................................................................................................. 13 1.26. 主机允许从任何域进行flash访问 ....................................................................... 13

1.26.1危害...................................................................................................................... 13 1.26.2整改建议 .............................................................................................................. 13 1.27. 信息泄露 ................................................................................................................. 13

1.27.1危害...................................................................................................................... 13 1.27.2整改建议 .............................................................................................................. 13 1.28. 文件上传漏洞 ......................................................................................................... 14

1.28.1危害...................................................................................................................... 14 1.28.2整改建议 .............................................................................................................. 14

1.29. 文件包含 ................................................................................................................. 14

1.29.1 危害..................................................................................................................... 14 1.29.2整改建议 .............................................................................................................. 14 1.30. 错误的页面信息 ..................................................................................................... 14

1.30.1危害...................................................................................................................... 14 1.30.2整改建议 .............................................................................................................. 14 应用层..................................................................................................................................... 15 2.1网站木马........................................................................................................................... 15

2.1.1危害........................................................................................................................ 15 2.1.2整改建议 ................................................................................................................ 15 2.2网站暗链........................................................................................................................... 15

2.2.1危害........................................................................................................................ 15 2.2.2整改建议 ................................................................................................................ 15 2.3页面篡改........................................................................................................................... 16

2.3.1危害........................................................................................................................ 16 2.3.2整改建议 ................................................................................................................ 16 2.4后台管理........................................................................................................................... 16

2.4.1危害........................................................................................................................ 16 2.4.2 整改建议 ............................................................................................................... 16 2.5攻击痕迹........................................................................................................................... 17

2.5.1危害........................................................................................................................ 17 2.5.2整改建议 ................................................................................................................ 17 2.6危险端口........................................................................................................................... 17

2.6.1危害........................................................................................................................ 17 2.6.2整改建议 ................................................................................................................ 17 2.7中间件............................................................................................................................... 17

2.7.1危害........................................................................................................................ 17 2.7.2整改建议 ................................................................................................................ 18 2.8第三方插件 ....................................................................................................................... 18

2.8.1危害........................................................................................................................ 18 2.8.2整改建议 ................................................................................................................ 18 2.9配置文件........................................................................................................................... 18

2.9.1危害........................................................................................................................ 18 2.9.2整改建议 ................................................................................................................ 18 2.10冗余文件......................................................................................................................... 18

2.10.1危害...................................................................................................................... 18 2.10.2整改建议 .............................................................................................................. 19 2.11系统漏洞......................................................................................................................... 19

2.11.1危害...................................................................................................................... 19 2.11.2整改建议 .............................................................................................................. 19

常见安全漏洞的处理及解决方法 1 Web层安全漏洞

1.1. 跨站点脚本编制 1.1.1 危害

可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。

1.1.2 整改建议

应对跨站点脚本编制的主要方法有两点：

一是不要信任用户的任何输入，尽量采用白名单技术来验证输入参数；二是输出的时候对用户提供的内容进行转义处理。

1.2. 基于 DOM 的跨站点脚本编制 1.2.1 危害

可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。

1.2.2 整改建议

建议分析并加强客户端 (JavaScript) 代码。清理攻击者所能影响的输入源。

1.3. 多供应商 Java Servlet 容器跨站点脚本编制 1.3.1危害

可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。

1.3.2整改建议

Tomcat 的修订程序已可用，位置如下：http://jakarta.apache.org/tomcat/ Allaire的Jrun的修订程序已可用，位置如下：

http://www.allaire.com/handlers/index.cfm?ID=21498&Method=Full

如果您运行 IBM WebSphere，建议您下载最新的版本，位置如下：http://www.ibm.com/websphere/

如果您运行的是其它不常见的应用，建议您寻求应用的官方团队支持。

1.4. SQL 注入 1.4.1危害

可能会查看、修改或删除数据库条目和表。严重的注入漏洞还可能以当然数据库用户身份远程执行操作系统命令。

1.4.2整改建议

补救方法在于对用户输入进行清理。通过验证用户输入，保证其中未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令，等等。

1.5. SQL 盲注 1.5.1危害

可能会查看、修改或删除数据库条目和表

1.5.2整改建议

共4页:

常见安全漏洞的处理及解决方法1.doc 将本文的Word文档下载到电脑下载失败或者文档不完整，请联系客服人员解决！

下载这篇word文档