網絡安全等級保護測評方案編制模闆擷取請:轉發+評論。進首頁擷取更多資料。
web安全檢查項清單:
web漏洞合集描述和修複建議:
| 漏洞分類 | 漏洞名稱 | 風險級别 | 漏洞描述 | 加強建議 |
| 輸入與輸出驗證 | SQL注入漏洞 | 高危 | 當Web應用程式未對使用者輸入的資料進行足夠的安全處理(如危險字元過濾或者語句過濾),而直接拼接SQL語句執行時,攻擊者可以精心構造參數值,使伺服器執行非預期的SQL語句并傳回結果,造成資料庫資訊洩露。利用SQL注入漏洞,攻擊者可擷取資料庫的增、删、改、查權限,甚至執行系統指令,上傳後門檔案等。 | 針對SQL注入漏洞,需要對網站所有參數中送出的資料進行過濾,禁止輸入"'"、"xor"、"or"、"--"、"#"、"select"、"and"等特殊字元;所有的查詢語句都使用資料庫提供的參數化查詢接口,SQL語句使用參數化處理後的資料作為輸入,而不是将使用者輸入變量嵌入到SQL語句中;嚴格限制網站使用者對資料庫的操作權限,給此使用者提供僅僅能夠滿足其工作的權限,進而最大限度的減少注入攻擊對資料庫的危害;避免網站顯示SQL錯誤資訊,比如類型錯誤、字段不比對等,防止攻擊者收集這些錯誤資訊進行判斷進而執行SQL注入攻擊。 |
| 輸入與輸出驗證 | XSS跨站腳本漏洞 | 高危 | 跨站腳本攻擊是通過在網頁中加入惡意代碼,當通路者浏覽網頁時惡意代碼會被執行,攻擊者可利用該漏洞竊取或操縱客戶會話和 cookie,用來模仿合法使用者,進而使攻擊者獲得管理者權限,控制整個網站。 | 1.在cookie中設定了HttpOnly屬性,那麼通過JavaScript腳本将無法讀取到cookie資訊,這樣能一定程度上防止XSS攻擊。 2.假定所有輸入都是可疑的,必須對所有輸入中的script、iframe等字樣進行嚴格的檢查。這裡的輸入不僅僅是使用者可以直接互動的輸入接口,也包括HTTP請求中的cookie中的變量,HTTP請求頭部中的變量等。 3.不僅驗證資料的類型,還要驗證其格式、長度、範圍和内容。 4.過濾“<” 、“>” 将使用者輸入放入引号間,基本實作資料與代碼隔離;過濾雙引号防止使用者跨越許可的标記,添加自定義标記;過濾TAB和空格,防止關鍵字被拆分;過濾script關鍵字;過濾&#,防止HTML屬性繞過檢查。在用戶端和伺服器端同時做資料的驗證與過濾。 5.對輸出的資料也要檢查,資料庫裡的值有可能會在一個大網站的多處都有輸出,即使在輸入做了編碼等操作,在各處的輸出點時也要進行安全檢查。 |
| 輸入與輸出驗證 | CRLF注入漏洞 | 高危 | CRLF是”回車 + 換行”(\r\n)的簡稱。在HTTP協定中,HTTP Header與HTTP Body是用兩個CRLF分隔的,浏覽器就是根據這兩個CRLF來取出HTTP 内容并顯示出來。是以,一旦我們能夠控制HTTP 消息頭中的字元,注入一些惡意的換行,這樣我們就能注入一些會話Cookie或者HTML代碼,是以CRLF Injection又叫HTTP Response Splitting,簡稱HRS。HRS是比XSS危害更大的安全問題。 | 針對CRLF注入漏洞,建議過濾\r 、\n等特殊字元,避免輸入的資料污染到其他HTTP頭。 |
| 輸入與輸出驗證 | URL重定向釣魚 | 高危 | 通過建構URL,攻擊者可以使使用者重定向到任意URL,利用這個漏洞可以誘使使用者通路某個頁面,挂馬、密碼記錄、下載下傳任意檔案等,常被用來釣魚。 | 1.referer的限制 如果确定傳遞URL參數進入的來源,可以通過該方式實作安全限制,保證該URL的有效性,避免惡意使用者自己生成跳轉連結。 2.加入有效性驗證Token 保證所有生成的連結都是來自于可信域的,通過在生成的連結裡加入使用者不可控的Token對生成的連結進行校驗,可以避免使用者生成自己的惡意連結進而被利用。 3.URL白名單,在白名單内才進行跳轉 |
| 輸入與輸出驗證 | Host頭攻擊漏洞 | 高危 | 對開發人員來說,提取請求頭中的Host參數寫入目前頁面是一個很不明智的選擇。因為如果這樣,攻擊者就可以通過修改HTTP請求頭中的Host字段,控制伺服器傳回頁面中的URL。 | 不允許讀取Host字段并寫入頁面。如有需要,應使用伺服器腳本自帶的SERVER_NAME變量。 |
| 輸入與輸出驗證 | 架構注入漏洞 | 高危 | 攻擊者有可能注入含有惡意内容的 frame 或 iframe 标簽。如果使用者不夠謹慎,就有可能浏覽該标簽所對應的頁面,但意識不到自己會離開原始站點而進入惡意的站點。之後,攻擊者便可以誘導使用者再次登入,然後擷取其登入憑證。 | 建議過濾以下所有字元:| & ; $ % @ ' " \' \" <> () + CR LF , \。 |
| 輸入與輸出驗證 | CSRF跨站請求僞造漏洞 | 高危 | 攻擊者可利用該漏洞模仿合法使用者,進而使攻擊者能夠以該使用者身份檢視或變更使用者記錄以及執行事務。 | 1.使用驗證碼 使用驗證碼,那麼每次操作都需要使用者進行互動,可簡單有效的防禦CSRF攻擊。 2.檢測referer 通過檢查Referer的值,我們就可以判斷這個請求是合法的還是非法的 3.增加一個随機的token值 添加一個參數Token,其值是随機的。這樣攻擊者因為不知道Token而無法構造出合法的請求進行攻擊。 |
| 輸入與輸出驗證 | 檔案上傳漏洞 | 高危 | 驗證上傳檔案的程式沒有對上傳檔案作任何過濾,導緻可以上傳任意檔案到伺服器,甚至是病毒檔案和木馬檔案。 | 對于上傳的附件,驗證程式要做嚴格驗證,使用伺服器端校驗,而不能僅用前端javascript驗證。 1.建議嚴格限制上傳檔案類型和上傳檔案名及字尾。 2.檢查檔案頭和檔案内容,對上傳檔案目錄的運作權限進行嚴格限制。 3.及時排查、删除伺服器木馬檔案。 |
| 輸入與輸出驗證 | 本地檔案包含漏洞 | 高危 | 由于程式員未對使用者可控的變量進行輸入檢查,導緻使用者可以控制被包含的檔案,成功利用時可以使web server将特定檔案當成腳本執行,進而導緻攻擊者可擷取一定的伺服器權限;或直接讀取系統檔案,造成伺服器敏感資訊洩露。 | 針對檔案包含漏洞,建議采用“白名單”的方式,限制允許包含的檔案範圍。 |
| 輸入與輸出驗證 | 遠端檔案包含漏洞 | 高危 | 伺服器通過語言的特性(函數)去包含任意檔案時,由于要包含的這個檔案來源過濾不嚴格,進而可以去包含一個惡意檔案,攻擊者就可以遠端構造一個特定的惡意檔案達到攻擊目的。 | 如果一定要動态包含檔案,建議最好明确規定包含哪些檔案,進行白名單比對。同時,也可以在包含函數中加入目錄限制。 |
| 輸入與輸出驗證 | SSRF(服務端請求僞造) | 高危 | 很多web應用都提供了從其他的伺服器上擷取資料的功能。使用使用者指定的URL,web應用可以擷取圖檔,下載下傳檔案,讀取檔案内容等。這個功能如果被惡意使用,可以利用存在缺陷的web應用作為代理攻擊遠端和本地的伺服器,探測内網資訊甚至内網入侵。 | SSRF形成的原因大都是由于服務端提供了從其他伺服器應用擷取資料的功能且沒有對目标位址做過濾與限制。比如從指定URL位址擷取網頁文本内容,加載指定位址的圖檔,下載下傳等等。建議對url參數值做嚴格的限制。 |
| 輸入與輸出驗證 | 任意檔案讀取漏洞 | 高危 | 程式過濾不嚴,導緻可以通過../../../等方式跳轉到其他目錄讀取任意檔案。 | 1.過濾”../”的特殊字元 2.限制讀取檔案的目錄,不允許跨目錄讀取 |
| 輸入與輸出驗證 | 任意檔案下載下傳漏洞 | 高危 | 在正常下載下傳連結的檔案參數前加 ../../../../ 來跳出目錄限制,下載下傳系統檔案等任意檔案。該漏洞是由于背景代碼未對下載下傳路徑做安全限制引起的。 | 針對任意檔案下載下傳漏洞,建議嚴格限制檔案下載下傳路徑。 |
| 配置管理 | Struts2 dev-mod指令執行漏洞 | 高危 | 網站封裝采用Apache Struts xwork作為網站應用架構,且devMode為打開狀态。當這個設定開啟時,Struts2會提供更多的日志和調試資訊來幫助開發者更快速的開發。 然而在開發者模式下,将允許OGNL語句注入,攻擊者可能利用此漏洞進行遠端代碼執行。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | S2-005指令執行漏洞 | 高危 | OGNL除其他功能外,還提供了廣泛的表達評估功能。該漏洞允許惡意使用者繞過建構在ParametersInterceptor中的“#” - 使用保護,進而能夠利用此漏洞進行遠端代碼執行。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | S2-009指令執行漏洞 | 高危 | OGNL除其他功能外,還提供廣泛的表達評估功能。該漏洞允許惡意使用者繞過建構到ParametersInterceptor中的所有保護(正規表達式模式,拒絕方法調用),進而能夠在任何公開的字元串變量中注入惡意表達式以進一步評估。 S2-003和S2-005中已經解決了類似的行為,但事實證明,基于白名單可接受的參數名稱所産生的修複隻是部分地關閉了漏洞。 正規表達式在ParametersInterceptor中比對top ['foo'](0)作為一個有效的表達式,OGNL把它視為(top ['foo'])(0)并且将'foo'動作參數的值作為OGNL表達式來計算。這使得惡意使用者可以将任意的OGNL語句放入任何由操作暴露的字元串變量中,并将其作為OGNL表達式進行求值,并且由于OGNL語句在HTTP參數值中,攻擊者可以使用黑名單字元(例如#)禁用方法執行并執行任意方法繞過了ParametersInterceptor和OGNL庫的保護。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | S2-016指令執行漏洞 | 高危 | 在struts2中,DefaultActionMapper類支援以"action:"、"redirect:"、"redirectAction:"作為導航或是重定向字首,但是這些字首後面同時可以跟OGNL表達式,由于struts2沒有對這些字首做過濾,導緻利用OGNL表達式調用java靜态方法執行任意系統指令。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | S2-017URL跳轉漏洞 | 高危 | 在2.3.15.1之前的Struts 2中,“redirect:”或“redirectAction:”之後的資訊可以很容易地被操縱,以重定向到任意位置。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | S2-019指令執行漏洞 | 高危 | Struts2的操作映射機制支援特殊參數字首操作,這可能會在表格底部附加引導資訊,在映射 "action:" 字首操作時存在安全繞過漏洞,可被攻擊者利用繞過某些安全限制通路受限制功能。Struts2的Dynamic Method Invocation機制是預設開啟的(僅提醒使用者如果可能的情況下關閉此機制)這樣就存在遠端代碼執行漏洞,攻擊者可利用此漏洞在受影響應用上下文中執行任意代碼。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | S2-032指令執行漏洞 | 高危 | 動态方法調用啟用時,可能會傳遞一個惡意表達式,用于在伺服器端執行任意代碼。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | S2-037指令執行漏洞 | 高危 | Struts2使用Rest插件之後,ActionMapping通過org.apache.struts2.rest.RestActionMapper.java類的publicActionMappinggetMapping(HttpServl etRequest request,ConfigurationManagerconfigManager)的方法擷取的。其中,當請求url是如下的格式:actionName/id/methodName會擷取methodName 作為ActionMapping的method屬性。但method屬性未做任何處理,同S2-032漏洞執行流程一緻,都是将ActionMapping的屬性設定到ActionProxy中,從ActionProxy中擷取method屬性帶入到ognl表達式中執行,通過OGNL表達式靜态調用擷取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS屬性并覆寫_memberAccess的方式進行繞過,進而可在受控制的伺服器端執行任意代碼。即攻擊者在部署了REST插件的Struts 2伺服器上均可利用該漏洞遠端執行任意指令 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | S2-045指令執行漏洞 | 高危 | 使用 Jakarta 檔案上傳插件的 Struts,攻擊者可在上傳檔案時通過修改HTTP請求頭中的 Content-Type 值來觸發該漏洞,進而執行系統指令。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | S2-046指令執行漏洞 | 高危 | 使用 Jakarta 檔案上傳插件的 Struts,攻擊者可在上傳檔案的大小(由 Content-Length 頭指定)大于 Struts2 允許的最大大小(2GB),檔案名内容構造惡意的 OGNL 來觸發該漏洞,進而執行系統指令。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | S2-052指令執行漏洞 | 高危 | Struts2 REST 插件使用帶有 XStream 程式的 XStream Handler 進行未經任何代碼過濾的反序列化操作,這可能在反序列化XML payloads時導緻遠端代碼執行。任意攻擊者都可以構造惡意的XML内容提升權限。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | JDWP遠端指令執行漏洞 | 高危 | JDWP 是 Java Debug Wire Protocol 的縮寫,它定義了調試器(debugger)和被調試的 Java 虛拟機(target vm)之間的通信協定。當對外開啟該協定的Java調試模式時,存在遠端指令執行漏洞。允許攻擊者遠端執行代碼,獲得伺服器權限。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | ElasticSearch指令執行漏洞 | 高危 | 該漏洞存在于一個名為ElasticSearch.yml的檔案,在這個檔案中存在一個配置項“script.disable_dynamic”,預設為“false”。此預設配置允許伺服器動态執行使用者發送的任意代碼。黑客隻需要通過一個URL位址向伺服器傳送一段代碼,就可以建立和執行他們自己的程式。一旦黑客獲得通過,他們在伺服器上的操作将不受任何限制,包括竊取網站中的使用者賬号及密碼等敏感資訊,或者留下一個後門程式。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | Resin任意檔案讀取漏洞 | 高危 | 安裝某些版本Resin伺服器的網站存在可讀取任意檔案的漏洞,攻擊者利用該漏洞可以讀取網站伺服器的任意檔案内容。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | GNU Bash遠端指令執行 | 高危 | GNU Bash 4.3及之前版本在評估某些構造的環境變量時存在安全漏洞,向環境變量值内的函數定義後添加多餘的字元串會觸發此漏洞,攻擊者可利用此漏洞改變或繞過環境限制,以執行shell指令。 | 1.更新最新版本; 2.系統如果不再使用 ,請将其下線或用防火牆屏蔽。 |
| 配置管理 | Unicode 轉換漏洞 | 高危 | 在Unicode在轉換時,由于超長位元組序列和錯誤格式引起子序列的安全問題。通過特殊的編碼格式繞過程式對惡意字元的檢測,可以用在SQL注入、XSS等。 | 1.更新Unicode版本至官方最新穩定版本http://www.unicode.org 2.Unicode轉化UTF-8編碼後,對轉換後進行安全檢測,對特殊字元過濾或進行安全編碼後輸出。 |
| 配置管理 | 檢測到網站被黑痕迹 | 高危 | 網站頁面已被篡改或已有入侵痕迹。 | 清除網站木馬,全面檢測網站漏洞并及時修複。 |
| 配置管理 | 使用被棄用的SSL 2.0協定 | 高危 | 網站https使用了SSL 2.0協定。該協定非常老舊且已被棄用。該協定存在大量已知的安全漏洞,比如DROWN漏洞等。 | 禁用SSL 2.0或者使用SSL 3.0 或TLS 1.0代替。 |
| 配置管理 | OpenSSL遠端記憶體洩露漏洞(心髒滴血漏洞) | 高危 | OpenSSL是一款開放源碼的SSL實作,用來實作網絡通信的高強度加密。漏洞與OpenSSL TLS/DTLS傳輸層安全協定heartbeat擴充元件(RFC6520)相關,是以漏洞又被稱為“heartbleed bug”(中文名稱:“心血”漏洞)。該漏洞無需任何特權資訊或身份驗證,就可以獲得X.509證書的私鑰、使用者名與密碼、cookies等資訊,進一步可直接從服務提供商和使用者通訊中竊取聊天工具消息、電子郵件以及重要的商業文檔和通信等私密資料。 | 更新OpenSSL版本到最新的1.0.1g;使用-DOPENSSL_NO_HEARTBEATS參數重新編譯低版本的OpenSSL以禁用Heartbleed子產品。 |
| 配置管理 | JBoss Seam參數化EL表達式遠端代碼執行漏洞 | 高危 | JBoss Seam是一個Java EE5架構,把JSF與EJB3.0元件合并在一起,進而為開發基于Web的企業應用程式提供一個最新的模式。 JBoss Seam處理某些參數化JBoss EL表達式的方式存在輸入過濾漏洞( CVE-2010-1871)。如果遠端攻擊者能夠誘騙通過認證的JBoss Seam使用者通路特制的網頁,就可能導緻執行任意代碼 | 更新至4.3.0 EL4或以上更高的、确認已修複此漏洞的版本。參考連結:https://bugzilla.redhat.com/show_bug.cgi?id=615956 |
| 配置管理 | Weblogic Java反序列化遠端指令執行漏洞 | 高危 | Weblogic存在Java反序列化漏洞,攻擊者可以遠端執行系統指令,獲得伺服器權限。 | 及時更新官方更新檔。 |
| 配置管理 | JBoss反序列化漏洞 | 高危 | 根源在CommonsCollections元件中對于集合的操作存在可以進行反射調用的方法,并且該方法在相關對象反序列化時并未進行任何校驗,導緻遠端代碼執行。利用漏洞,允許攻擊者遠端執行系統指令,獲得伺服器權限,導緻伺服器運作安全風險。 | 1.針對JBoss Java反序列化漏洞,建議更新jboss版本到最新版(http://www.jboss.org/)或 更新官方更新檔。 2.針對資料庫帳号密碼進行修改,要求密碼長度8位數以上,密碼複雜程度必須包含數字、大小寫字母及特殊字元。 3.對伺服器進行全面安全檢查,及時排查、清除webshell等後門檔案;及時修改資料庫密碼等。 |
| 配置管理 | JBoss JMXInvokerServlet遠端指令執行漏洞 | 高危 | Jboss在預設安裝的時候,會安裝http-invoker.sar站點,當請求invoker/JMXInvokerServlet或invoker/EJBInvokerServlet會調用org.jboss.invocation.http.servlet.InvokerServlet.class處理請求。該類對GET請求和POST請求,統一調用processRequest函數處理,是以,攻擊者需要自己構造一個jboss的類,并且将其序列化,然後将序列化的資料直接送出到存在漏洞站點的invoker/JMXInvokerServlet頁面,惡意代碼将會被執行。 | 建議删除或禁止通路/invoker/JMXInvokerServlet檔案。 |
| 配置管理 | Apache ActiveMQ遠端代碼執行漏洞 (CVE-2016-3088) | 高危 | Apache ActiveMQ Fileserver 存在多個安全漏洞,可使遠端攻擊者用惡意代碼替代Web應用,在受影響系統上執行遠端代碼(CVE-2016-3088)。 | 1.ActiveMQ Fileserver 的功能在 5.14.0 及其以後的版本中已被移除。建議使用者更新至 5.14.0 及其以後版本。 2.通過移除 conf\jetty.xml 的以下配置來禁用 ActiveMQ Fileserver 功能 |
| 配置管理 | Apache Tomcat示例目錄漏洞 | 高危 | tomcat安裝時預設的示範、文檔頁面,會造成資訊洩露和XSS跨站腳本漏洞,攻擊者可以建立、銷毀或控制session。 | 删除相關功能示範頁面。 |
| 配置管理 | Tomcat版本過低漏洞 | 中危 | Tomcat由于版本過低存在安全漏洞。 | 更新Tomcat版本或及時打更新檔。 |
| 配置管理 | S2-053指令執行漏洞 | 中危 | Apache Struts2 Freemarker标簽如果被錯誤的配置使用,将會導緻RCE遠端代碼執行漏洞。 | 1.更新到Apache Struts版本2.5.12或2.3.34 2.使用隻讀屬性來初始化value屬性(僅限getter屬性) 3.Freemarker标簽内容不要通過Request方式擷取 |
| 配置管理 | HPPT.sys遠端代碼執行漏洞(MS15-034) | 中危 | 遠端執行代碼漏洞存在于 HTTP 協定堆棧 (HTTP.sys) 中,當 HTTP.sys 未正确分析經特殊設計的 HTTP 請求時會導緻此漏洞。成功利用此漏洞的攻擊者可以在系統帳戶的上下文中執行任意代碼。 影響以下版本作業系統的IIS伺服器:Windows 7、Windows 8、Windows server 2008、Windows server 2012 | 使用者安裝微軟官方修複更新檔(3042553)。 https://support.microsoft.com/zh-cn/kb/3042553 |
| 配置管理 | WebDav檔案上傳/資訊洩露漏洞 | 中危 | WebDAV是一種基于 HTTP 1.1協定的通信協定.它擴充了HTTP 1.1,在GET、POST、HEAD等幾個HTTP标準方法以外添加了一些新的方法。使應用程式可直接對Web Server檔案進行讀寫,并支援寫檔案鎖定(Locking)及解鎖(Unlock),還可以支援檔案的版本控制。遠端攻擊者可能利用此漏洞非授權讀寫檔案。 | 通常情況下網站不需要支援額外的方法,建議禁用WebDav服務,關閉PUT、MOVE、COPY等方法。 |
| 配置管理 | slowhttp拒絕服務攻擊 | 中危 | 如果遠端攻擊者使用發包工具向Apache伺服器發送了不完整的HTTP請 求,伺服器會打開連接配接等待接受完整的頭,但如果發包工具不再繼續發送完整請求而是發送無效頭的話,就會一直保持打開的連接配接。這種攻擊所造成的影響很嚴重, 因為攻擊者不需要發送很大的通訊就可以耗盡伺服器上的可用連接配接。也就是說,即使低帶寬的使用者也可以攻擊大流量的伺服器。 | 1.更新到最新版的apache 2.在httpd.conf中添加RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=500 3.直接在 iptables 中限制每個 IP 的連接配接數可以解決以上絕大部分問題,除非攻擊者擁有衆多殭屍電腦,否則單 IP 的攻擊将失去效果。 iptables -A INPUT -p tcp --syn --dport 8889 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset |
| 配置管理 | jQuery版本過低(jQuery低版本存在跨站) | 中危 | jQuery 1.6.3之前版本中存在跨站腳本漏洞。當使用location.hash選擇元素時,通過特制的标簽,遠端攻擊者利用該漏洞注入任意web腳本或HTML。 | 更新jQuery版本。 |
| 配置管理 | 不安全的javascript庫檔案 | 中危 | 該版本的javascript庫存在多個安全漏洞 | 更新javascript庫版本。 |
| 配置管理 | 傳輸層保護不足漏洞 | 中危 | 傳輸層保護不足,會暴露傳輸的資料,導緻資料被竊聽,賬号被盜等,如果是管理者的賬号面臨這個問題,那麼将會導緻整個網站處于資料暴露的狀态,将對網站和使用者造成嚴重的甚至無法挽回的損失。 | 1.對所有敏感的頁面使用SSL,非SSL請求的頁面應該被重定向到SSL請求的頁面。 2.對所有敏感的Cookie,設定“secure”的flag。 3.保證SSL的提供商隻支援強大的算法,這樣就不能夠被輕易破解。(使用标準的強算法) 4.確定您的證書是有效的,不過期,不被撤銷,并比對這個網站使用的所有域。 5.背景和其他的連接配接也應該使用SSL或其他加密技術。 6.即使是開發者的注釋也應該很好的被保護,防止資訊洩露。 |
| 配置管理 | 伺服器啟用了TRACE Method方法 | 中危 | 1. 惡意攻擊者可以通過TRACE Method傳回的資訊了解到網站前端的一些資訊,如緩存伺服器等,進而為下一步的攻擊提供便利。 2.惡意攻擊者可以通過TRACE Method進行XSS攻擊 3.即使網站對關鍵頁面啟用了HttpOnly頭标記和禁止腳本讀取cookie資訊,那麼通過TRACE Method惡意攻擊者還是可以繞過這個限制讀取到cookie資訊。 | 禁用TRACE方法。 |
| 配置管理 | 點選劫持漏洞(X-Frame-Options頭缺失) | 中危 | 通過覆寫不可見的架構誤導受害者點選,受害者點選的是他所看到的網頁,但其實他所點選的是被黑客精心建構的另一個置于原網頁上面的透明頁面。 | 設定X-Frame-Options值來防禦利用iframe嵌套的點選劫持攻擊。 |
| 配置管理 | 啟用了不安全的HTTP方法(啟用了OPTIONS方法) | 中危 | 開啟了不安全的HTTP方法:DELTE/SEARCE/COPY,MOVE/PROPFIND/PROPPATCH/MKCOL/LOCK/UNLOCK/PUT,可能會在Web 伺服器上上載、修改或删除Web 頁面、腳本和檔案。 | 如果伺服器不需要支援WebDAV,請務必禁用它,或禁止不必要的HTTP 方法。 |
| 配置管理 | 域名通路限制不嚴格 | 中危 | 目标存在域名通路限制不嚴格漏洞。Http請求的Hostname字段沒有嚴格的域名限制,導緻可以繞過一些防護措施。 | 配置WEB伺服器,限制隻能以域名形式通路伺服器。 |
| 資訊洩露 | SVN源代碼洩露 | 高危 | 造成SVN源代碼漏洞的主要原因是管理者操作不規範。在使用SVN管理本地代碼過程中,會自動生成一個名為.svn的隐藏檔案夾,其中包含重要的源代碼資訊。但一些網站管理者在釋出代碼時,不願意使用‘導出’功能,而是直接複制代碼檔案夾到WEB伺服器上,這就使.svn隐藏檔案夾被暴露于外網環境,黑客可以借助其中包含的用于版本資訊追蹤的‘entries’檔案,逐漸摸清站點結構。 更嚴重的問題在于,SVN産生的.svn目錄下還包含了以.svn-base結尾的源代碼檔案副本(低版本SVN具體路徑為text-base目錄,高版本SVN為pristine目錄),如果伺服器沒有對此類字尾做解析,黑客則可以直接獲得檔案源代碼。 | 針對SVN資訊洩露漏洞,建議删除WEB目錄裡的SVN檔案或限制通路.svn目錄,并更新SVN軟體至1.7或以上更高版本 |
| 資訊洩露 | .idea工程目錄資訊洩露漏洞 | 高危 | .idea目錄用來放置開發工程的一些配置檔案,通常是.xml檔案。其中workspace.xml裡面存放一些開發者個人配置,比如開發路徑、開發環境等。裡面包含一些敏感資訊。 | 生産環境中删除.idea目錄及該目錄下的檔案,或配置網站伺服器禁止通路.idea目錄。 |
| 資訊洩露 | ASP.NET_Padding_Oracle資訊洩露(MS10-070) | 高危 | ASP.NET由于加密填充驗證過程中處理錯誤不當,導緻存在一個資訊洩漏漏洞。成功利用此漏洞的攻擊者可以讀取伺服器加密的資料,例如視圖狀态。 此漏洞還可以用于資料篡改,如果成功利用,可用于解密和篡改伺服器加密的資料。 | 建議将Microsoft .NET Framework 更新至最新版本。 |
| 資訊洩露 | .git資訊洩露 | 高危 | 洩露網站敏感資訊,攻擊者可直接擷取源碼資訊實施進一步攻擊。 | 删除.git目錄。 |
| 資訊洩露 | 錯誤頁面資訊洩露(應用程式錯誤資訊) | 中危 | 攻擊者可以根據錯誤或警告消息收集伺服器資訊。 | 1.關閉web伺服器錯誤提示; 2.關閉運作平台的錯誤提示; 3.建立錯誤機制,不要把真實的錯誤回報給通路者。捕獲背景抛出的異常,制定異常固定跳轉頁面,如500錯誤,跳轉到相應頁面,例如“系統異常請與管理者聯系”,403異常,找不到頁面等等。 |
| 資訊洩露 | 備份檔案洩露 | 中危 | 在網站的使用過程中,往往需要對網站中的檔案進行修改、更新。此時就需要對網站整站或者其中某一頁面進行備份。當備份檔案或者修改過程中的緩存檔案因為各種原因而被留在網站web目錄下,而該目錄又沒有設定通路權限時,便有可能導緻備份檔案或者編輯器的緩存檔案被下載下傳,導緻敏感資訊洩露,給伺服器的安全埋下隐患。 | 1.删除不必要的備份檔案; 2.設定通路權限; 3.将備份檔案放至伺服器其它目錄下。 |
| 資訊洩露 | 目錄周遊 | 中危 | 攻擊者通過不指定url中的具體檔案,來檢視某個目錄下的所有檔案和目錄結構。 | 針對目錄周遊漏洞,建議通過修改配置檔案,去除Web 容器(如Apache)的檔案目錄索引功能。 |
| 資訊洩露 | IIS短檔案名漏洞 | 中危 | Microsoft IIS在實作上存在檔案枚舉漏洞,攻擊者可以利用“~”字元猜解或周遊伺服器中的檔案名,或對IIS伺服器中的.Net Framework進行拒絕服務攻擊。 | 針對IIS短檔案名漏洞,建議禁止url中使用“~”或它的Unicode編碼,或關閉windows的8.3格式功能。 |
| 資訊洩露 | 源代碼洩露漏洞 | 中危 | 部分或全部頁面源代碼洩露,攻擊者可審查源代碼洩露的可用資訊進一步滲透。 | 删除源代碼檔案或對需要的未解析的源代碼進行解析。 |
| 資訊洩露 | robots.txt檔案洩露 | 中危 | 洩露網站敏感資訊,包括網站的背景頁面或其它隐私頁面。 | 1.robots.txt 檔案不應用來保護或隐藏資訊。 2.應該将敏感的檔案和目錄移到另一個隔離的子目錄,以便将這個目錄排除在 Web Robot 搜尋之外。如下列示例所示,将檔案移到“folder”之類的非特定目錄名稱是比較好的解決方案: New directory structure: /folder/passwords.txt /folder/sensitive_folder/ New robots.txt: User-agent: * Disallow: /folder/ 3.如果您無法更改目錄結構,且必須将特定目錄排除于 Web Robot 之外,在 robots.txt 檔案中,請隻用局部名稱。雖然這不是最好的解決方案,但至少它能加大完整目錄名稱的猜測難度。例如,如果要排除“sensitive_folder”和 “passwords.txt”,請使用下列名稱(假設 Web 根目錄中沒有起始于相同字元的檔案或目錄): robots.txt: User-agent: * Disallow: /se Disallow: /pa。 |
| 資訊洩露 | 敏感資訊洩露 | 中危 | 敏感資訊洩露一般包括:中間件、軟體架構(cms)類型和版本資訊,資料庫表結構、網站架構、賬号密碼體系等等。這些資訊一般在伺服器錯誤資訊、html注釋、隐藏表單、示例檔案等地方出現。攻擊者得到這些資訊,有助于縮小攻擊範圍,進行有針對性的更深層次的攻擊。 | 對于一般資訊洩露,删除無用頁面,或删除頁面中的敏感資訊即可。對于敏感報錯資訊洩露,需要設定代碼捕獲異常,并抛出異常,服務端出現異常後不在用戶端回顯,統一傳回不包含敏感資訊的錯誤頁面。 |
| 資訊洩露 | Github資訊洩露漏洞 | 中危 | 開發人員使用Github進行代碼管理。而免費使用者在Github上的項目内容可在網站中檢索到,并對所有使用者開放可檢視。洩露的敏感資訊一般包括:軟體源代碼、程式賬号密碼等等。攻擊者得到這些資訊,可以進行代碼審計,更有針對性的找到網站漏洞,甚至可以獲得使用者賬号密碼,直接登入獲得使用者權限。 | 删除敏感的Github項目代碼,對可能洩露的帳号密碼及時進行修改。 |
| 資訊洩露 | PHP探針資訊洩露 | 中危 | PHP探針檔案會導緻網站敏感資訊洩露 | 删除預設安裝PHP探針檔案。 |
| 資訊洩露 | phpinfo頁面洩露 | 中危 | 洩露網站伺服器敏感資訊,包括網站實體路徑、PHP版本、伺服器資訊及環境變量等。 | 1.通過修改伺服器環境内php.ini檔案,将“expose_php = On”修改成“expose_php = Off”然後重新開機php即可。 2.如果确實需要該測試資訊,在測試時使用,測試完畢後将該檔案删除掉。 3.若無需要可以将一些php的危險函數禁用,打開/etc/php.ini檔案,查找到 disable_functions,添加需禁用的以下函數名:phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen |
| 資訊洩露 | 發現隐藏目錄 | 低危 | 嘗試了檢測伺服器上的隐藏目錄,403 Forbidden 響應洩露了存在此目錄,即使不允許對其進行通路,洩露網站目錄結構。 | 可對禁止的資源釋出“404 - Not Found”響應狀态代碼,或者将其完全除去。 |
| 資訊洩露 | 内部IP位址洩露 | 低危 | 洩露内網IP位址 | 禁止将内網IP置于網站頁面或代碼層中。 |
| 資訊洩露 | OpenSSH CBC模式資訊洩露漏洞 | 低危 | 配置為CBC模式,OpenSSH沒有正确地處理分組密碼算法加密的SSH會話中所出現的錯誤,導緻可能洩露密文中任意塊最多32位純文字。 | 臨時解決方案:在SSH會話中僅使用CTR模式加密算法,如AES-CTR 目前廠商已經釋出了更新更新檔以修複這個安全問題,更新檔下載下傳連結: https://downloads.ssh.com/ |
| 資訊洩露 | 未加密的登入請求 | 低危 | 檢測中發現登入請求(例如:使用者名、密碼、電子郵件位址、社會安全号碼等)被發送到伺服器的過程中并未采用通訊加密協定或加密。惡意人員可通過資料截包實作網站管理者使用者名、密碼資訊的截獲。 | 注冊或登入時,客戶發送請求敏感資訊進行加密,例如密碼、電話、郵件等敏感資訊進行加密傳輸。 |