(1)、Apache/IIS樣例文件泄漏
漏洞描述
apache/IIS一些樣例文件沒有刪除����,可能存在cookie、session偽造,進(jìn)行后臺(tái)登錄操作
修復(fù)建議
1���、刪除樣例文件
2�����、對apache中的web.xml��、IIS中的global.asa�����、web.config進(jìn)行相關(guān)設(shè)置
(2)��、弱口令
漏洞描述
由于系統(tǒng)中存在有弱口令���,導(dǎo)致攻擊者通過弱口令可輕松登錄系統(tǒng)中,從而進(jìn)行下一步的攻擊�,如上傳webshell,獲取敏感數(shù)據(jù)�!
另外攻擊者利用弱口令登錄網(wǎng)站管理后臺(tái),可任意增刪改等操作�,從而造成負(fù)面影響!
修復(fù)建議
1���、建議強(qiáng)制用戶首次登錄時(shí)修改默認(rèn)口令���,或是使用用戶自定義初始密碼的策略;
2�����、 完善密碼策略��,信息安全最佳實(shí)踐的密碼策略為8位(包括)以上字符��,包含數(shù)字����、大小寫字母、特殊字符中的至少3種����;
3、對管理后臺(tái)進(jìn)行訪問控制�����,修改后臺(tái)弱口令���,加強(qiáng)口令強(qiáng)度并定期修改���;
4���、增加驗(yàn)證機(jī)制,防爆破機(jī)制���,限制ip+cookie訪問次數(shù)���。
(3)、明文傳輸?shù)卿浛诹?/span>
漏洞描述
用戶登錄過程中使用明文傳輸用戶登錄信息�,若用戶遭受中間人攻擊時(shí),攻擊者可直接獲取該用戶登錄賬戶�����,從而進(jìn)行進(jìn)一步滲透��。
修復(fù)建議
1��、用戶登錄信息使用加密傳輸�����,如密碼在傳輸前使用安全的算法加密后傳輸,可采用的算法包括:不可逆hash算法加鹽(4位及以上隨機(jī)數(shù)�����,由服務(wù)器端產(chǎn)生)���;安全對稱加密算法,如AES(128���、192���、256位),且必須保證客戶端密鑰安全��,不可被破解或讀出�����;非對稱加密算法�����,如RSA(不低于1024位)�����、SM2等。
2��、使用https來保證傳輸?shù)陌踩?/span>
(4)�、暴力破解
漏洞描述
由于沒有對登錄頁面進(jìn)行相關(guān)的防暴力破解機(jī)制,如無驗(yàn)證碼��、有驗(yàn)證碼但驗(yàn)證碼未在服務(wù)器端校驗(yàn)以及無登錄錯(cuò)誤次數(shù)限制等��,導(dǎo)致攻擊者可通過暴力破解獲取用戶登錄賬戶及口令��,從而獲取網(wǎng)站登錄訪問權(quán)限�!
修復(fù)建議
1、添加驗(yàn)證碼機(jī)制����,加入圖片(驗(yàn)證碼動(dòng)態(tài)生成且滿足隨機(jī)性)或者短信驗(yàn)證碼(驗(yàn)證碼具備超時(shí)時(shí)限一般為1分鐘,且在該時(shí)限內(nèi)錯(cuò)誤次數(shù)超過3次則進(jìn)行鎖定1分鐘后方能重新獲取驗(yàn)證碼����,超時(shí)后驗(yàn)證碼自動(dòng)失效)!
2����、驗(yàn)證碼必須在服務(wù)器端進(jìn)行校驗(yàn)����,客戶端的一切校驗(yàn)都是不安全的���!
(5)�、SQL注入漏洞
漏洞描述
Web程序代碼中對于用戶提交的參數(shù)未做過濾就直接放到SQL語句中執(zhí)行����,導(dǎo)致參數(shù)中的特殊字符打破了SQL語句原有邏輯���,黑客可以利用該漏洞執(zhí)行任意SQL語句��,如查詢數(shù)據(jù)�、下載數(shù)據(jù)���、寫入webshell��、執(zhí)行系統(tǒng)命令以及繞過登錄限制等���。
修復(fù)建議
代碼層最佳防御sql漏洞方案:采用sql語句預(yù)編譯和綁定變量,是防御sql注入的最佳方法�。
1)所有的查詢語句都使用數(shù)據(jù)庫提供的參數(shù)化查詢接口�,參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中�。當(dāng)前幾乎所有的數(shù)據(jù)庫系統(tǒng)都提供了參數(shù)化SQL語句執(zhí)行接口,使用此接口可以非常有效的防止SQL注入攻擊��。
2)對進(jìn)入數(shù)據(jù)庫的特殊字符(’”<>&*%#;等)進(jìn)行轉(zhuǎn)義處理�����,或編碼轉(zhuǎn)換�����。
3)確認(rèn)每種數(shù)據(jù)的類型����,比如數(shù)字型的數(shù)據(jù)就必須是數(shù)字,數(shù)據(jù)庫中的存儲(chǔ)字段必須對應(yīng)為int型����。
4)數(shù)據(jù)長度應(yīng)該嚴(yán)格規(guī)定,能在一定程度上防止比較長的SQL注入語句無法正確執(zhí)行�����。
5)網(wǎng)站每個(gè)數(shù)據(jù)層的編碼統(tǒng)一����,建議全部使用UTF-8編碼�,上下層編碼不一致有可能導(dǎo)致一些過濾模型被繞過���。
6)嚴(yán)格限制網(wǎng)站用戶的數(shù)據(jù)庫的操作權(quán)限��,給此用戶提供僅僅能夠滿足其工作的權(quán)限�����,從而最大限度的減少注入攻擊對數(shù)據(jù)庫的危害。
7)避免網(wǎng)站顯示SQL錯(cuò)誤信息�,比如類型錯(cuò)誤、字段不匹配等�����,防止攻擊者利用這些錯(cuò)誤信息進(jìn)行一些判斷����。
(6)、跨站腳本攻擊(xss)漏洞
漏洞描述
Web程序代碼中把用戶提交的參數(shù)未做過濾或過了不嚴(yán)就直接輸出到頁面�����,參數(shù)中的特殊字符打破了HTML頁面的原有邏輯,黑客可以利用該漏洞執(zhí)行惡意HTML/JS代碼��、構(gòu)造蠕蟲傳播�、篡改頁面實(shí)施釣魚攻擊、誘以及導(dǎo)用戶再次登錄�����,然后獲取其登錄憑證等��。XSS攻擊對Web服務(wù)器本身雖無直接危害�,但是它借助網(wǎng)站進(jìn)行傳播,對網(wǎng)站用戶進(jìn)行攻擊�����,竊取網(wǎng)站用戶賬號信息等����,從而也會(huì)對網(wǎng)站產(chǎn)生較嚴(yán)重的危害。XSS攻擊可導(dǎo)致以下危害:
1)��、釣魚欺騙:最典型的就是利用目標(biāo)網(wǎng)站的反射型跨站腳本漏洞將目標(biāo)網(wǎng)站重定向到釣魚網(wǎng)站�����,或者通過注入釣魚JavaScript腳本以監(jiān)控目標(biāo)網(wǎng)站的表單輸入,甚至攻擊者基于DHTML技術(shù)發(fā)起更高級的釣魚攻擊��。
2)���、網(wǎng)站掛馬:跨站時(shí)��,攻擊者利用Iframe標(biāo)簽嵌入隱藏的惡意網(wǎng)站���,將被攻擊者定向到惡意網(wǎng)站上、或彈出惡意網(wǎng)站窗口等方式�,進(jìn)行掛馬攻擊。
3)�����、身份盜用:Cookie是用戶對于特定網(wǎng)站的身份驗(yàn)證標(biāo)志���,XSS攻擊可以盜取用戶的cookie,從而利用該cookie盜取用戶對該網(wǎng)站的操作權(quán)限����。如果一個(gè)網(wǎng)站管理員用戶的cookie被竊取,將會(huì)對網(wǎng)站引發(fā)巨大的危害。
4)�、盜取網(wǎng)站用戶信息:當(dāng)竊取到用戶cookie從而獲取到用戶身份時(shí),攻擊者可以盜取到用戶對網(wǎng)站的操作權(quán)限�,從而查看用戶隱私信息。
5)����、垃圾信息發(fā)送:在社交網(wǎng)站社區(qū)中,利用XSS漏洞借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標(biāo)群����。
6)、劫持用戶Web行為:一些高級的XSS攻擊甚至可以劫持用戶的Web行為�����,從而監(jiān)視用戶的瀏覽歷史�����、發(fā)送與接收的數(shù)據(jù)等等�。
7)、XSS蠕蟲:借助XSS蠕蟲病毒還可以用來打廣告�、刷流量、掛馬����、惡作劇�����、破壞網(wǎng)上數(shù)據(jù)����、實(shí)施DDoS攻擊等�。
修復(fù)建議
xss漏洞本質(zhì)上是一種html注入,也就是將html代碼注入到網(wǎng)頁中��。那么其防御的根本就是在將用戶提交的代碼顯示到頁面上時(shí)做好一系列的過濾與轉(zhuǎn)義:
1)假定所有輸入都是可疑的�,必須對所有輸入中的script、iframe等字樣進(jìn)行嚴(yán)格的檢查����。這里的輸入不僅僅是用戶可以直接交互的輸入接口,也包括HTTP請求中的Cookie中的變量��,HTTP請求頭部中的變量等�����。
2)不僅要驗(yàn)證數(shù)據(jù)的類型�,還要驗(yàn)證其格式、長度����、范圍和內(nèi)容。
3)不要僅僅在客戶端做數(shù)據(jù)的驗(yàn)證與過濾��,關(guān)鍵的過濾步驟在服務(wù)端進(jìn)行���。
4)對輸出的數(shù)據(jù)也要檢查�����,數(shù)據(jù)庫里的值有可能會(huì)在一個(gè)大網(wǎng)站的多處都有輸出����,即使在輸入做了編碼等操作����,在各處的輸出點(diǎn)時(shí)也要進(jìn)行安全檢查。
(7)�����、目標(biāo)服務(wù)器啟用了不安全HTTP方法
漏洞描述
目標(biāo)服務(wù)器啟用了不安全的傳輸方法���,如PUT����、TRACE、DELETE��、MOVE等���,這些方法表示可能在服務(wù)器上使用了 WebDAV����,由于dav方法允許客戶端操縱服務(wù)器上的文件�,如上傳、修改�����、刪除相關(guān)文件等危險(xiǎn)操作���,如果沒有合理配置dav�����,有可能允許未授權(quán)的用戶對其進(jìn)行利用����,修改服務(wù)器上的文件����。
修復(fù)建議
1)、關(guān)閉不安全的傳輸方法���,推薦只使用POST���、GET方法!
2)����、如果服務(wù)器不需要支持 WebDAV,請務(wù)必禁用它�����。
或者為允許webdav的目錄配置嚴(yán)格的訪問權(quán)限�����,如認(rèn)證方法��,認(rèn)證需要的用戶名,密碼�����。
(8)��、任意文件上傳
漏洞描述
文件上傳漏洞通常由于網(wǎng)頁代碼中的文件上傳路徑變量過濾不嚴(yán)或webserver相關(guān)解析漏洞未修復(fù)而造成的���,如果文件上傳功能實(shí)現(xiàn)代碼沒有嚴(yán)格限制用戶上傳的文件后綴以及文件類型�,攻擊者可通過 Web 訪問的目錄上傳任意文件��,包括網(wǎng)站后門文件(webshell)����,進(jìn)而遠(yuǎn)程控制網(wǎng)站服務(wù)器。
攻擊者可通過此漏洞上傳惡意腳本文件��,對服務(wù)器的正常運(yùn)行造成安全威脅�����!
修復(fù)建議
1)���、對上傳文件類型進(jìn)行限制����,并且不能只做前端的限制,而要前端和后端一起限制����,后端可以進(jìn)行擴(kuò)展名檢測�,重命名文件,MIME類型檢測以及限制上傳文件的大小�,或是將上傳的文件放在安全的路徑下,盡量放于webserver之外的遠(yuǎn)程服務(wù)器等����。
2)、嚴(yán)格限制和校驗(yàn)上傳的文件����,禁止上傳惡意代碼的文件。同時(shí)限制相關(guān)目錄的執(zhí)行權(quán)限���,防范webshell攻擊�����。
3)、對上傳文件格式進(jìn)行嚴(yán)格校驗(yàn)及安全掃描�����,防止上傳惡意腳本文件��;
4)�����、設(shè)置權(quán)限限制�,禁止上傳目錄的執(zhí)行權(quán)限�;
5)����、嚴(yán)格限制可上傳的文件類型�;
6)�����、嚴(yán)格限制上傳的文件路徑����。
7)、文件擴(kuò)展名服務(wù)端白名單校驗(yàn)。
8)���、文件內(nèi)容服務(wù)端校驗(yàn)���。
9)��、上傳文件重命名�。
10)、隱藏上傳文件路徑�����。
(9)���、測試頁面泄漏在外網(wǎng)
漏洞描述
一些測試頁面泄漏到外網(wǎng),導(dǎo)致外界誤傳公司被黑客入侵��,影響公司聲譽(yù)���。
修復(fù)建議
刪除測試頁面以及無用文件�,例如test.cgi,phpinfo.php�,info.pho�, .svn/entries等���。
(10)��、目錄瀏覽
漏洞描述
由于服務(wù)器端配置不當(dāng)�����,開啟了目錄瀏覽�,黑客可獲得服務(wù)器上的文件目錄結(jié)構(gòu)����,從而下載敏感文件。
修復(fù)建議
通過修改配置文件�,去除中間件(如IIS、apache�����、tomcat)的文件目錄索引功能
2.設(shè)置目錄權(quán)限
3.在每個(gè)目錄下創(chuàng)建一個(gè)空的index.html頁面��。
(11)�����、phpinfo信息泄漏
漏洞描述
Web站點(diǎn)的某些測試頁面可能會(huì)使用到PHP的phpinfo()函數(shù)����,會(huì)輸出服務(wù)器的關(guān)鍵信息,從而造成信息泄露��,通過獲取的信息可進(jìn)行下一步的攻擊計(jì)劃�����!
修復(fù)建議
刪除該P(yáng)HP文件!
(12)�、未授權(quán)訪問
漏洞描述
由于沒有對相關(guān)敏感頁面進(jìn)行訪問權(quán)限的檢查,導(dǎo)致攻擊者可未授權(quán)訪問�,從而獲取敏感信息及進(jìn)行未授權(quán)操作等!
修復(fù)建議
對相關(guān)頁面進(jìn)行嚴(yán)格的訪問權(quán)限的控制以及對訪問角色進(jìn)行權(quán)限檢查�����!
(13)����、越權(quán)訪問
漏洞描述
由于沒有對用戶訪問角色的權(quán)限進(jìn)行嚴(yán)格的檢查及限制,導(dǎo)致當(dāng)前賬號可對其他賬號進(jìn)行相關(guān)操作�����,如查看���、修改等��!
修復(fù)建議
對用戶訪問角色的權(quán)限進(jìn)行嚴(yán)格的檢查及限制���!
(14)����、命令執(zhí)行漏洞
漏洞描述
命令執(zhí)行漏洞是指代碼未對用戶可控參數(shù)做過濾�����,導(dǎo)致直接帶入執(zhí)行命令的代碼中�,對惡意構(gòu)造的語句�����,可被用來執(zhí)行任意命令��。黑客可在服務(wù)器上執(zhí)行任意命令��,寫入后門�����,從而入侵服務(wù)器���,獲取服務(wù)器的管理員權(quán)限���,危害巨大���。
修復(fù)建議
嚴(yán)格過濾用戶輸入的數(shù)據(jù),禁止執(zhí)行非預(yù)期系統(tǒng)命令�����!
(15)�����、應(yīng)用程序錯(cuò)誤信息泄露
漏洞描述
黑客可通過特殊的攻擊向量����,使web服務(wù)器出現(xiàn)500、404等相關(guān)錯(cuò)誤�����,導(dǎo)致信息泄漏如絕對路徑����、webserver版本、源代碼���、sql語句等敏感信息���,惡意攻擊者很有可能利用這些信息實(shí)施進(jìn)一步的攻擊�。
修復(fù)建議
1�����、自定義錯(cuò)誤頁面或歸一化錯(cuò)誤頁面信息提示�!
2、修正代碼��!
(16)�����、LDAP注入
漏洞描述
由于Web 應(yīng)用程序沒有對用戶提供的輸入進(jìn)行適當(dāng)過濾和檢查����,攻擊者便有可能修改LDAP 語句的結(jié)構(gòu)�,并且以(例如:數(shù)據(jù)庫服務(wù)器、Web 應(yīng)用程序服務(wù)器���、Web 服務(wù)器)的權(quán)限執(zhí)行任意命令�����,許可權(quán)可能會(huì)允許查詢�����、修改或除去 LDAP 樹狀構(gòu)造內(nèi)任何數(shù)據(jù)�。
修復(fù)建議
對用戶的輸入進(jìn)行嚴(yán)格的過濾及檢查,并且對類型也進(jìn)行檢查���!
(17)�����、文件包含漏洞
漏洞描述
本地文件包含是指程序代碼在處理包含文件的時(shí)候沒有嚴(yán)格控制�。利用這個(gè)漏洞���,攻擊者可以先把上傳的靜態(tài)文件�����,或網(wǎng)站日志文件作為代碼執(zhí)行�����,或者包含遠(yuǎn)程服務(wù)器上的惡意文件�,進(jìn)而獲取到服務(wù)器權(quán)限。
修復(fù)建議
1����、嚴(yán)格檢查變量是否已經(jīng)初始化。
2���、對所有輸入提交可能包含的文件地址����,包括服務(wù)器本地文件及遠(yuǎn)程文件�,進(jìn)行嚴(yán)格的檢查,參數(shù)中不允許出現(xiàn)../之類的目錄跳轉(zhuǎn)符��。
3�、嚴(yán)格檢查include類的文件包含函數(shù)中的參數(shù)是否外界可控�。
4、不要僅僅在客戶端做數(shù)據(jù)的驗(yàn)證與過濾�,關(guān)鍵的過濾步驟在服務(wù)端進(jìn)行。
(18)���、網(wǎng)站敏感壓縮文件泄露
漏洞描述
誤將網(wǎng)站備份文件或是敏感信息文件存放在某個(gè)網(wǎng)站目錄下���,外部黑客可通過暴力破解文件名等方法下載該備份文件���,導(dǎo)致網(wǎng)站敏感信息泄露。
修復(fù)建議
1���、不要在網(wǎng)站目錄下存放網(wǎng)站備份文件或敏感信息的文件���。
2、如需存放該類文件�,請將文件名命名為難以猜解的字符串。
(19)���、CRLF HTTP 頭部注入漏洞
漏洞描述
CRLF 是“回車 +換行”(\r\n)的簡稱��。在 HTTP 協(xié)議中�,HTTPHeader 與 HTTP Body 是用兩個(gè) CRLF 符號進(jìn)行分隔的��,瀏覽器根據(jù)這兩個(gè) CRLF 符號來獲取 HTTP 內(nèi)容并顯示����。因此,一旦攻擊者能夠控制 HTTP 消息頭中的字符�����,注入一些惡意的換行,就能注入一些會(huì)話 Cookie 或者 HTML 代碼��。
修復(fù)建議
過濾 \r �、\n 之類的換行符,避免輸入的數(shù)據(jù)污染到其他 HTTP 消息頭��。
(20)�、URL 跳轉(zhuǎn)漏洞
漏洞描述
Web 程序直接跳轉(zhuǎn)到參數(shù)中的 URL ,或頁面引入任意的開發(fā)者 URL�����,被攻擊者利用可實(shí)施釣魚攻擊等操作�。
修復(fù)建議
在控制頁面轉(zhuǎn)向的地方校驗(yàn)傳入的URL是否為可信域名。
(21)���、Crossdomain.xml 配置不當(dāng)
漏洞描述
網(wǎng)站根目錄下的 crossdomain.xml 文件指明了遠(yuǎn)程Flash 是否可以加載當(dāng)前網(wǎng)站的資源(圖片��、網(wǎng)頁內(nèi)容、Flash等)����。如果配置不當(dāng),可能導(dǎo)致遭受跨站請求偽造(CSRF)攻擊。
修復(fù)建議
對于不需要從外部加載資源的網(wǎng)站��,在 crossdomain.xml 文件中更改allow-access-from的domain屬性為域名白名單����。
(22)、敏感信息泄露
漏洞描述
在頁面中或者返回的響應(yīng)包中泄露了敏感信息���,通過這些信息���,攻擊者可進(jìn)一步滲透。
修復(fù)建議
1�、如果是探針或測試頁面等無用的程序建議刪除,或者修改不易被猜到的名字��。
2��、禁用泄露敏感信息的頁面或應(yīng)用��。
3�、對相關(guān)敏感信息進(jìn)行模糊化處理,在服務(wù)器端進(jìn)行�!
4、對服務(wù)器端返回的數(shù)據(jù)進(jìn)行嚴(yán)格的檢查����,滿足查詢數(shù)據(jù)與頁面顯示數(shù)據(jù)一致���,切勿返回多于的數(shù)據(jù)!
(23)��、任意文件下載
漏洞描述
文件下載處由于未對下載路徑進(jìn)行過濾�����,利用路徑回溯符../跳出程序本身的限制目錄實(shí)現(xiàn)來下載任意文件����,如下載系統(tǒng)密碼文件等!
修復(fù)建議
對下載路徑進(jìn)行過濾���,如下載前對傳入的參數(shù)進(jìn)行過濾�,并且對下載文件類型進(jìn)行檢查��,是否是允許下載的類型��,另外禁止使用回溯符../�!
(24)、weblogic SSRF服務(wù)器請求偽造
漏洞描述
目標(biāo)存在weblogic SSRF服務(wù)器請求偽造漏洞���。WebLogic是用于開發(fā)��、集成����、部署和管理大型分布式Web應(yīng)用����、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫應(yīng)用的Java應(yīng)用服務(wù)器。SSRF(Server-Side Request Forgery:服務(wù)器端請求偽造) 是一種由攻擊者構(gòu)造形成由服務(wù)端發(fā)起請求的一個(gè)安全漏洞����。一般情況下,SSRF攻擊的目標(biāo)是從外網(wǎng)無法訪問的內(nèi)部系統(tǒng)�����。(正是因?yàn)樗怯煞?wù)端發(fā)起的�,所以它能夠請求到與它相連而與外網(wǎng)隔離的內(nèi)部系統(tǒng))。Weblogic中間件默認(rèn)帶有“UDDI 目錄瀏覽器”且為未授權(quán)訪問�,通過該應(yīng)用,可進(jìn)行無回顯的SSRF請求���。攻擊者可利用該漏洞對企業(yè)內(nèi)網(wǎng)進(jìn)行大規(guī)模掃描���,了解內(nèi)網(wǎng)結(jié)構(gòu)����,并可能結(jié)合內(nèi)網(wǎng)漏洞直接獲取服務(wù)器權(quán)限��。
修復(fù)建議
1.刪除uddiexplorer文件夾
2.限制uddiexplorer應(yīng)用只能內(nèi)網(wǎng)訪問
(25)�、目標(biāo)站點(diǎn)存在網(wǎng)馬
漏洞描述
經(jīng)滲透測試發(fā)現(xiàn)目標(biāo)站點(diǎn)存在有webshell,攻擊者可進(jìn)行遠(yuǎn)程連接操作�,進(jìn)行惡意操作!
修復(fù)建議
1)刪除可疑文件���,并進(jìn)行本地文件漏洞掃描排查是否還存在有其他木馬��!
2)使用相關(guān)手段發(fā)現(xiàn)并及時(shí)修復(fù)已存在的漏洞���!
(26)、IIS短文件名泄露漏洞
漏洞描述
Internet Information Services(IIS�����,互聯(lián)網(wǎng)信息服務(wù))是由微軟公司提供的基于運(yùn)行Microsoft Windows的互聯(lián)網(wǎng)基本服務(wù)�。Microsoft IIS在實(shí)現(xiàn)上存在文件枚舉漏洞,攻擊者可利用此漏洞枚舉網(wǎng)絡(luò)服務(wù)器根目錄中的文件���。危害:攻擊者可以利用“~”字符猜解或遍歷服務(wù)器中的文件名�����,或?qū)IS服務(wù)器中的.Net Framework進(jìn)行拒絕服務(wù)攻擊�����。
黑客可通過該漏洞嘗試獲取網(wǎng)站服務(wù)器下存放文件的文件名����,達(dá)到獲取更多信息來入侵服務(wù)器的目的�。
修復(fù)建議
修改Windows配置,關(guān)閉短文件名功能���。
1.關(guān)閉NTFS 8.3文件格式的支持���。該功能默認(rèn)是開啟的,對于大多數(shù)用戶來說無需開啟�����。
2.如果是虛擬主機(jī)空間用戶,可采用以下修復(fù)方案:
1)修改注冊列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值為1(此修改只能禁止NTFS8.3格式文件名創(chuàng)建,已經(jīng)存在的文件的短文件名無法移除)����。
2)如果你的web環(huán)境不需要asp.net的支持你可以進(jìn)入Internet 信息服務(wù)(IIS)管理器 --- Web 服務(wù)擴(kuò)展 - ASP.NET 選擇禁止此功能��。
3)升級net framework 至4.0以上版本��。
3.將web文件夾的內(nèi)容拷貝到另一個(gè)位置���,比如D:\www到D:\www.back,然后刪除原文件夾D:\www����,再重命名D:\www.back到D:\www。如果不重新復(fù)制��,已經(jīng)存在的短文件名則是不會(huì)消失的�����。
(27)����、Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞(S2-019)
漏洞描述
Apache Struts2的“Dynamic MethodInvocation”機(jī)制是默認(rèn)開啟的,僅提醒用戶如果可能的情況下關(guān)閉此機(jī)制��,如果未關(guān)閉此機(jī)制將導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞,遠(yuǎn)程攻擊者可利用此漏洞在受影響應(yīng)用上下文中執(zhí)行任意代碼���。
修復(fù)建議
1����、目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)這個(gè)安全問題��,請到廠商的主頁下載��!
2��、或者手工設(shè)置struts.xml文件<constantname="struts.enable.DynamicMethodInvocation"value="false"/>
(28)���、Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞(S2-037)
漏洞描述
Apache Struts2在使用REST插件時(shí),攻擊者可以繞過動(dòng)態(tài)方法執(zhí)行的限制�����,調(diào)用惡意表達(dá)式執(zhí)行遠(yuǎn)程代碼�����。
修復(fù)建議
建議用戶到官方獲取最新補(bǔ)丁或者最新版本程序�!
(29)、Apache Struts2 DevMode 遠(yuǎn)程代碼執(zhí)行漏洞
漏洞描述
為了便于開發(fā)人員調(diào)試程序����,Struts2提供了一個(gè)devMode模式���,可以方便查看程序錯(cuò)誤以及日志等信息。當(dāng)Struts2中的devMode模式設(shè)置為true時(shí)�,存在嚴(yán)重遠(yuǎn)程代碼執(zhí)行漏洞。如果WebService 啟動(dòng)權(quán)限為最高權(quán)限時(shí)���,可遠(yuǎn)程執(zhí)行任意命令����,包括關(guān)機(jī)��、建立新用戶���、以及刪除服務(wù)器上所有文件等等�����。
修復(fù)建議
建議用戶到官方獲取最新補(bǔ)丁或者最新版本程序�!
或者將struts.properties中的devMode設(shè)置為false���,或是在struts.xml中添加如下代碼:<constant name="struts.devMode"value="false"/>��。
(30)�����、Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞(S2-045)
漏洞描述
Apache Struts2的Jakarta Multipartparser插件存在遠(yuǎn)程代碼執(zhí)行漏洞�,漏洞編號為CVE-2017-5638。攻擊者可以在使用該插件上傳文件時(shí)���,修改HTTP請求頭中的Content-Type值來觸發(fā)該漏洞���,導(dǎo)致遠(yuǎn)程執(zhí)行代碼����。
修復(fù)建議
檢測方式查看web目錄下/WEB-INF/lib/目錄下的struts-core.x.x.jar ,如果這個(gè)版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之間則存在漏洞����!
1、建議用戶到官方獲取最新補(bǔ)丁或者最新版本程序��!
2���、更新至Strusts2.3.32或者Strusts2.5.10.1��,或使用第三方的防護(hù)設(shè)備進(jìn)行防護(hù)��。
3���、臨時(shí)解決方案:刪除commons-fileupload-x.x.x.jar文件(會(huì)造成上傳功能不可用)���。
4、修改WEB-INF/classes目錄下的配置
在WEB-INF/classes目錄下的struts.xml中的struts 標(biāo)簽下添加
<constantname=”struts.custom.i18n.resources”value=”global”/>�����;
在WEB-INF/classes/目錄下添加global.properties��,文件內(nèi)容如下:
struts.messages.upload.error.InvalidContentTypeException=1
(31)�、Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞(S2-033)
漏洞描述
Apache Struts2在開啟動(dòng)態(tài)方法調(diào)用(DynamicMethod Invocation)的情況下,攻擊者使用REST插件調(diào)用惡意表達(dá)式可以遠(yuǎn)程執(zhí)行代碼�����。
修復(fù)建議
1�����、用戶到官方獲取最新補(bǔ)丁或者最新版本程序!
2�����、或者在允許的情況下禁用動(dòng)態(tài)方法調(diào)用(Dynamic Method Invocation)�����,修改Struts2的配置文件struts.xml���,將struts.enable.DynamicMethodInvocation設(shè)置為“false”�����。
(32)�����、目標(biāo)URL存在httphost頭攻擊漏洞
漏洞描述
為了方便的獲得網(wǎng)站域名,開發(fā)人員一般依賴于HTTP Host header��,但是這個(gè)header是不可信賴的��,如果應(yīng)用程序沒有對host header值進(jìn)行處理����,就有可能造成惡意代碼的傳入�。
修復(fù)建議
web應(yīng)用程序應(yīng)該使用SERVER_NAME而不是host header����。
在Apache和Nginx里可以通過設(shè)置一個(gè)虛擬機(jī)來記錄所有的非法host header。在Nginx里還可以通過指定一個(gè)SERVER_NAME名單��,Apache也可以通過指定一個(gè)SERVER_NAME名單并開啟UseCanonicalName選項(xiàng)��。
(33)���、登錄繞過漏洞
漏洞描述
由于對登錄的賬號及口令校驗(yàn)存在邏輯缺陷����,或再次使用服務(wù)器端返回的相關(guān)參數(shù)作為最終登錄憑證���,導(dǎo)致可繞過登錄限制����,如服務(wù)器返回一個(gè)flag參數(shù)作為登錄是否成功的標(biāo)準(zhǔn)�,但是由于代碼最后登錄是否成功是通過獲取這個(gè)flag參數(shù)來作為最終的驗(yàn)證,導(dǎo)致攻擊者通過修改flag參數(shù)即可繞過登錄的限制�����!
修復(fù)建議
修改驗(yàn)證邏輯,如是否登錄成功服務(wù)器端返回一個(gè)參數(shù)��,但是到此就是最終驗(yàn)證�,不需要再對返回的參數(shù)進(jìn)行使用并作為登錄是否成功的最終判斷依據(jù)!
(34)��、短信/郵件轟炸
漏洞描述
由于沒有對短信或者郵件發(fā)送次數(shù)進(jìn)行限制����,導(dǎo)致可無限次發(fā)送短信或郵件給用戶,從而造成短信轟炸�,進(jìn)而可能被大量用戶投訴,從而影響公司聲譽(yù)�!
修復(fù)建議
對發(fā)送短信或郵件的次數(shù)進(jìn)行限制,如1分鐘只能發(fā)送1次短信或郵件�,并且需要在服務(wù)器進(jìn)行限制!
(35)���、slow http Dos拒絕服務(wù)
漏洞描述
按照設(shè)計(jì),HTTP協(xié)議要求服務(wù)器在處理之前完全接收請求����。如果HTTP請求沒有完成��,或者傳輸速率非常低����,服務(wù)器會(huì)保持其資源忙于等待其余數(shù)據(jù)���。如果服務(wù)器保持太多的資源忙��,這將造成一個(gè)拒絕服務(wù)���。嚴(yán)重者一臺(tái)主機(jī)即可讓web運(yùn)行緩慢甚至是崩潰!
修復(fù)建議
對于 Apache 可以做以下優(yōu)化:
設(shè)置合適的 timeout 時(shí)間(Apache 已默認(rèn)啟用了 reqtimeout 模塊)�,規(guī)定了 Header 發(fā)送的時(shí)間以及頻率和 Body 發(fā)送的時(shí)間以及頻率
增大 MaxClients(MaxRequestWorkers):增加最大的連接數(shù)。根據(jù)官方文檔���,兩個(gè)參數(shù)是一回事����,版本不同����,MaxRequestWorkers was called MaxClients before version 2.3.13.Theold name is still supported.
默認(rèn)安裝的 Apache 存在 Slow Attack 的威脅,原因就是雖然設(shè)置的 timeoute�����,但是最大連接數(shù)不夠,如果攻擊的請求頻率足夠大�,仍然會(huì)占滿Apache的所有連接。
(36)��、web服務(wù)測試頁面信息泄露
漏洞描述
由于沒有刪除默認(rèn)的且與業(yè)務(wù)無關(guān)的頁面�,導(dǎo)致信息泄露,如:webserver版本信息����、中間件類型及版本信息等,通過對這類信息的收集��,攻擊者可制定具有針對性的攻擊計(jì)劃�����!
修復(fù)建議
刪除與業(yè)務(wù)無關(guān)的頁面�,如果是必須需要使用的中間件管理頁面,建議對該頁面進(jìn)行訪問權(quán)限的控制����!
該文章在 2021/9/13 9:29:24 編輯過
400 186 1886
