1.21. CSRF跨站请求伪造 1.21.1危害
攻击者可以盗用你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账??造成的问题包括:个人隐私泄露以及财产安全。
1.21.2整改建议
1. 验证 HTTP Referer字段: Referer为空或为外域就禁止(性价比最高,但不能保证浏览器没有漏洞,在一定程度上还可以结合XSS绕过Referer校验,比如在留言簿上发条
2. 在请求地址中添加 token 并验证:用户登录后往session里面写一个随机token,输出到页面时使用js将此token放到每个请求(包括form、ajax)的参数之后,收到请求时服务器端将参数中的token与session中的进行比对。(为什么攻击者拿不到此token:因为只有受害者自己才能看到token。但不是绝对的,攻击者可以抓包得到token)
3. 在HTTP 头中自定义属性并验证(将token不放到参数中,而是放到http header中)(成本最高,对老系统来说可能需要重写)
4. 关键请求使用验证码
1.22. Url重定向漏洞 1.22.1危害
通过构建URL,攻击者可以使用户重定向到任意URL,利用这个漏洞可以诱使用户访问某个页面,挂马、密码记录、下载任意文件等。
1.22.2整改建议
1. 对用户的输入做校验;
2. 对重定向到第三方网站传参改用post
3. 对一些网站可采用白名单的方式,对跳转的域名做可信判断
1.23. IIS短文件/文件夹漏洞 1.23.1危害
攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。
1.23.2整改建议
1.禁止url中使用“~”或它的Unicode编码。 2.修改注册列表
HKLM\\SYSTEM\\CurrentControlSet\\Control\\FileSystem\\NtfsDisable8dot3NameCreation的值为1,再重启下机器。(此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除)。该修改不能完全修复,只是禁止创建。
3.如果你的web环境不需要asp.net的支持你可以进入Internet 信息服务(IIS)管理器 --- Web 服务扩展 - ASP.NET 选择禁止此功能。(推荐修复方法,能彻底修复)
4. 升级net framework 至4.0以上版本。(推荐修复方法,能彻底修复)
1.24. HTML敏感信息泄露 1.24.1危害
可能会收集有关Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置。
1.24.2整改建议
1. HTML 注释中遗留任何重要信息(如文件名或文件路径)。 2.重点注释中除去以前(或未来)站点链接的跟踪信息。 3. HTML 注释中放置敏感信息。 4. TML 注释不包括源代码片段。 5. 程序员没有遗留重要信息。
1.25. 通过框架钓鱼 1.25.1 危害
攻击者有可能注入frame 或iframe 标记,其中含有类似受攻击之网站的恶意属性。不小心的用户有可能浏览它,但并不知道他正在离开原始网站,冲浪到恶意的网站。之后,攻击者便可以诱惑用户重新登录,然后获取他的登录凭证。
1.25.2整改建议
一是不要信任用户的任何输入,尽量采用白名单技术来验证输入参数; 二是输出的时候对用户提供的内容进行转义处理。
1.26. 主机允许从任何域进行flash访问 1.26.1危害
可能会窃取或操纵客户会话和cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。
1.26.2整改建议
设置crossdomain.xml 文件中allow-accessfrom实体的域属性,以包含特定域名而不是任何域。把设置的“*”符号用特定域来表示。
1.27. 信息泄露 1.27.1危害
目标网站WEB程序和服务器未屏蔽错误信息,未做有效权限控制,可能导致泄漏敏感信息,恶意攻击者利用这些信息进行进一步渗透测试。
1.27.2整改建议
1.加强网站服务器配置,对默认错误信息进行修改,避免因客户端提交的非法请求导致服务器返回敏感信息。
2.尽量不在网站目录下存放备份、测试等可能泄露网站内容的文件。
1.28. 文件上传漏洞 1.28.1危害
由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意后缀文件,并能将这些文件传递给脚本解释器,就可以在远程服务器上执行任意脚本或恶意代码。
1.28.2整改建议
对网站所有上传接口在服务器端进行严格的类型、大小等控制,防止攻击者利用上传接口上传恶意程序。
1.29. 文件包含 1.29.1 危害
开发者将可重复使用的代码插入到单个的文件中,并在需要的时候将它们包含在特殊的功能代码文件中,然后包含文件中的代码会被解释执行。由于并没有针对代码中存在文件包含的函数入口做过滤,导致客户端可以提交恶意构造语句,并交由服务器端解释执行。
1.29.2整改建议
修改程序源代码,禁止服务器端通过动态包含文件方式的文件链接。
1.30. 错误的页面信息 1.30.1危害
错误/警告消息,可能会泄露敏感信息。
1.30.2整改建议
在编码阶段开发者对敏感页面缺乏授权保护,导致相关URL页面敏感信息泄露。建议修改错误信息。
一切敏感或需要权限方可浏览的页面,包括:敏感信息中转处理页面、上传页面、管理平台页面、用户自管理页面等。
2 应用层
2.1网站木马 2.1.1危害
利用IE浏览器漏洞,让IE在后台自动下载黑客放置在网站上的木马并运行(安装)这个木马,即这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始,从而实现控制访问者电脑或安装恶意软件的目的。
2.1.2整改建议
1)加强网站程序安全检测,及时修补网站漏洞;
2)对网站代码进行一次全面检测,查看是否有其余恶意程序存在;
3)建议重新安装服务器及程序源码,防止有深度隐藏的恶意程序无法检测到,导致重新安装系统后攻击者仍可利用后门进入。
2.2网站暗链 2.2.1危害
网站被恶意攻击者插入大量暗链,将会被搜索引擎惩罚,降低权重值;被插入大量恶意链接将会对网站访问者造成不良影响;将会协助恶意网站(可能为钓鱼网站、反动网站、赌博网站等)提高搜索引擎网站排名。可被插入暗链的网页也意味着能被篡改页面内容。
2.2.2整改建议
1)加强网站程序安全检测,及时修补网站漏洞;
2)对网站代码进行一次全面检测,查看是否有其余恶意程序存在;
3)建议重新安装服务器及程序源码,防止无法到检测深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入;