1.6. 启用了不安全的 HTTP 方法 1.6.1危害
可能会通过Web 服务器上传、修改或删除Web 页面、脚本和文件
1.6.2整改建议
禁用不安全的HTTP方法。
1.7. HTTP参数污染攻击 1.7.1危害
可能绕过应用防火墙的过滤、绕过URL Rewriting的限制、攻击服务端数据、攻击客户端数据。
1.7.2整改建议
应用程序应正确过滤用户输入(URL编码),以防止此漏洞。
1.8. 文件目录遍历 1.8.1危害
程序中如果不能正确地过滤客户端提交的../和./之类的目录跳转符,恶意者就可以通过上述符号跳转来访问服务器上的特定的目录或文件。
1.8.2整改建议
在程序中过滤../和./之类的目录跳转符,或者加强网站访问权限控制,禁止网站目录的用户浏览权限。
1.9. Http请求头的额外的回车换行符注入 1.9.1危害
攻击者可能注入自定义HTTP头。例如,攻击者可以注入会话cookie或HTML代码。这可能会进行类似的XSS(跨站点脚本)或会话固定漏洞。
1.9.2整改建议
您需要限制用户对CR(0x13 )和LF (0x10)的输入,或者正确编码输出,以防止自定义HTTP头的注入
1.10. 脚本代码暴露 1.10.1危害
攻击者可以收集敏感信息(数据库连接字符串,应用程序逻辑)。这些信息可以被用来发动进一步袭击。
1.10.2整改建议
许多方式可以诱使 Web 应用程序显示其源代码。要确保应用程序不允许 Web 用户访问源代码,请执行下列操作:
[1] 检查已安装与源代码泄露相关的所有系统补丁。 [2] 检查未将应用程序源代码留在 HTML 注释中。 [3] 检查已从生产环境中除去所有源代码文件。
1.11. ASP.NET Padding Oracle Vulnerability 1.11.1危害
使用.NETFramework所编译的ASP.Net应用中没有正确地实现加密,攻击者可以解密并篡改敏感数据。
1.11.2整改建议
然后您可以添加一个error.html(包含您喜欢显示的任何内容)到应用程序,使其无论在遇到任何错误的时候总是返回相同的错误页面error.html。这可以防止黑客区
分不同类型的服务器上所发生的错误。
微软已经为此发布了一个安全公告(MS10-070)以及相应补丁:
http://www.microsoft.com/technet/security/Bulletin/MS10-070.mspx?pf=true
1.12. Apache 2.2.14 mod_isapi Dangling Pointer 1.12.1危害
攻击者能远程提升系统权限,从而威胁到数据安全。
1.12.2解决方案
该漏洞只影响到在Windows上运行的Apache web server。
Apache 2.2.14及早期版本的用户应该尽快升级到 Apache 最新版。
1.13. Apache http server的拒绝服务漏洞 1.13.1危害
远程攻击者可以利用漏洞对应用程序进行拒绝服务攻击。
1.13.2安全建议
解决办法:升级Apache 到最新版本。
1.14. FCKeditor任意文件上传漏洞 1.14.1危害
恶意远程攻击者可以利用漏洞以WEB权限执行任意代码。进而提升权限控制目标服务器。
1.14.2整改建议
如果不是必需的,建议禁用FCKeditor的文件上传功能。
1.15. Apache mod_rewrite模块单字节缓冲区溢出漏洞 1.15.1危害
攻击者可能利用此漏洞在服务器上执行任意指令。
1.15.2整改建议
升级Apache 到最新版本。
1.16. 已解密的登录请求 1.16.1危害
用户登录密码为明文,可通过http报文截取登录用户密码。
1.16.2整改建议
1. 确保所有登录请求都以加密方式发送到服务器。 2. 请确保敏感信息,一律以加密方式传给服务器。
1.17. 目录列表 1.17.1危害
可能会查看和下载特定 Web应用程序虚拟目录的内容,其中可能包含受限文件。
1.17.2整改建议
[1] 将 Web 服务器配置成拒绝列出目录。
[2] 根据 Web 服务器或 Web 应用程序上现有的问题来下载特定安全补丁。部分已知的目录列表问题列在这个咨询的“引用”字段中。
1.18. Microsoft FrontPage 目录列表 1.18.1危害
远程攻击者可以通过此漏洞获取敏感目录,进而进行下一步攻击。
1.18.2整改建议
请确保 Web 服务器客户端无法直接访问这类产品所创建的目录(如 CVS、RCS 或 FrontPage 目录)。请将 Web 服务器配置成这些目录都不可访问(所有一般 Web 服务器都有拒绝访问特定目录的选项)。
1.19. Jquery XSS 1.19.1危害
可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。
1.19.2整改建议
将当前版本升级到jquery最新版本。
1.20. 会话固定 1.20.1危害
“会话固定”是一种攻击技术,会强制用户的会话标识变成显式值。固定会话标识值的技术有许多种,会随着目标Web 站点的功能而不同。从利用“跨站点脚本编制”到向Web 站点密集发出先前生成的HTTP 请求,都在这些技术范围内。用户的会话标识固定之后,攻击者会等待用户登录,然后利用预定义的会话标识值来假定用户的联机身份。
1.20.2整改建议
在登陆界面后增加下面一段代码,强制让系统session过期。 request.getSession().invalidate();//清空session
Cookie cookie = request.getCookies()[0];//获取cookie cookie.setMaxAge(0);//让cookie过期;