1.1.针对网站目录路径泄露整改建议
统一错误代码:确保你不小心通过提供不一致或“冲突”的错误消息给攻击者。
信息错误消息:确保错误信息不透露太多的信息。完全或部分路径,变量和文件名,行和表中的列名,和特定的数据库的错误不应该透露给最终用户。
适当的错误处理:利用通用的错误页面和错误处理逻辑,告知潜在的问题的最终用户。不提供系统信息或可能被攻击者利用精心策划的攻击时,其它数据。
1.2.针对文件上传漏洞整改建议
文件上传功能允许 Web 用户将文件从自己的计算机发送到 Web 服务器。如果用于接收文件的 Web 应用程序未仔细检查此文件是否包含恶意内容,那么攻击者也许能够通过上传文件在服务器上执行任意命令。建议采取严格的文件上传策略,通过清理和筛选避免上传恶意材料。
限制文件上传类型检查的文件扩展名,只允许特定的文件上传。用白名单的方式而不是一个黑名单。检查双扩展,如.php.png。检查的文件没有文件 名一样。htaccess(对ASP.NET
配置文件,检查网络配置。)。变对上传文件夹的权限,文件在此文件夹中不可执行。如果可能的话,重命名上传文件。
可能会在 Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容
可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件
在文件上载过程中,限制用户能力和许可权:
[1] 确保上载脚本只能控制上载的文件名和位置。
[2] 不上载脚本文件,如 asp、aspx、php、jsp 等。只允许上载静态内容。
[3] 只允许上载预期的文件类型。例如,如果您预期纯文本文件,便只允许 .txt 扩展名。
[4] 验证上载的文件内容。如果您预期纯文本文件,请确保它不含二进制字符或动态脚本部分。
1.3.针对文件WEB站点结构泄露漏洞整改建议
可能会检索有关站点文件系统结构的信息,这可能会帮助攻击者映射此 Web 站点。
1、 文件不应用来保护或隐藏信息
2、您应该将敏感的文件和目录移到另一个隔离的子目录,以便将这个目录排除在 Web Robot 搜索之外。如下列示例所示,将文件移到“folder”之类的非特定目录名称是比较好的解决方案: New directory structure: / /folder/sensitive_folder/
: User-agent: * Disallow: /folder/
3、如果您无法更改目录结构,且必须将特定目录排除于 Web Robot 之外,在 文件中,请只用局部名称。虽然这不是最好的解决方案,但至少它能加大完整目录名称的猜测难度。例如,如果要排除“sensitive_folder”和 “”,请使用下列名称(假设 Web 根目录中没有起始于相同字符的文件或目录): : User-agent: * Disallow: /se Disallow: /pa
1.4.针对源代码泄露漏洞整改建议
攻击者可以收集敏感信息(数据库连接字符串,应用程序逻辑)的源代码分析。该信息可以被用来进行进一步的攻击。
1、建议升级最新tomcat中间件。
2、建议在tomcat的l文件里加入大写.JSP映射。即
    <servlet-mapping> 
         <servlet-name>JSP</servlet-name> 
         <url-pattern>*.JSP</url-pattern> 
           </servlet-mapping> 
1.5.针对SVN库发现漏洞整改建议
这些文件可以公开敏感信息,有助于一个恶意用户准备更进一步的攻击。
从生产系统中删除这些文件或限制访问.svn目录。拒绝访问所有你需要在适当的范围内添加
以下几行svn文件夹(或者全局配置, 或者 vhost/directory, 或者是 .htaccess)。
<Directory ~ "\.svn">
Order allow,deny
Deny from all
</Directory>
1.6.针对网络端口未限制漏洞的整改建议
1、建议明确每个端口对应的服务进程,根据系统和应用的要求,关闭系统中不必要的服务进程
2、建议明确服务器的对外和对内的服务用途,关闭系统中不必要的服务端口(如139、445等)。
3、如果需要对外开放其他端口,建议采用IP地址限制(例如:3389端口)。
4、建议防火墙关闭不需要的端口,只开放对外提供服务的端口(例如:80端口)。
远程攻击者可以根据端口号来判断服务器有哪些应用,并根据相应的应用采取对应攻击,为黑客提供了更多攻击途径与手段。
1.1针对SQL注入漏洞的整改建议
每个提交信息的客户端页面,通过服务器端脚本(JSP、ASP、ASPX、PHP等脚本)生成的客户端页面,提交的表单(FORM)或发出的连接请求中包含的所有变量,必须对变量的值进行检查。过滤其中包含的特殊字符,或对字符进行转义处理。特殊字符包括:
SQL语句关键词:如 and 、or 、select、declare、update、xp_cmdshell;
SQL语句特殊符号:’、”、;等;
此外,Web应用系统接入数据库服务器使用的用户不应为系统管理员,用户角应遵循最小权限原则;具体建议如下:
1、严格定义应用程序可接受的数据类型(例如,字符串、字母数字字符等)。
2、使用肯定的定义而非否定的定义。验证输入中是否存在不正确的字符。采用这样一种基本原理:使用肯定的定义而非否定的定义。有关详细信息,请参阅下面的代码示例。
3、不要向最终用户显示提供的信息(如表名)可用于策划攻击的错误消息。
4、定义受允许的字符集。例如,如果某个字段要接受数字,请使该字段仅接受数字。
5、定义应用程序接受的最大和最小数据长度。
6、指定输入可接受的数字范围。
1.7.针对跨站脚本漏洞整改建议
每个提交信息的客户端页面,通过服务器端脚本(JSP、ASP、ASPX、PHP等脚本)生成的客户端页面,提交的表单(FORM)或发出的连接请求中包含的所有变量,必须对变量的值进行检查。过滤其中包含的特殊字符,或对字符进行转义处理。特殊字符包括:
HTML标签的<符号、“符号、’符号、%符号等,以及这些符号的Unicode值;
客户端脚本(Javascript、VBScript)关键字:javascript、script等;
此外,对于信息搜索功能,不应在搜索结果页面中回显搜索内容。同时应设置出错页面,防止Web服务器发生内部错误时,错误信息返回给客户端。
1.8.针对Fckeditor编辑器漏洞整改建议
1、删除FCKeditor测试页面。
2、升级最新版FCKeditor编辑器
1.9.针对任意文件下载漏洞整改建议
1、tomcat虚拟主机怎么设置禁止用文件名的方式访问网站目录的文件。
2、访问的文件名必须限制在规定的目录内,禁止越权使用别的目录
1.10.URL跳转漏洞
漏洞类型: URL跳转漏洞
详细说明:Web应用程序接收到用户提交的URL参数后,没有对参数做“可信任URL”的验证,就向用户浏览器返回跳转到该URL的指令。黑客可以通过URL跳转漏洞进行钓鱼窃取账号
修复方案: 保证用户所点击的URL,是从web应用程序中生成的URL,所以要做TOKEN验证。
1.11.检测到应用程序测试脚本
可能会下载临时脚本文件,这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信息 
 
不可将测试/暂时脚本遗留在服务器上,未来要避免出现这个情况。
确保服务器上没有非正常操作所必备的其他脚本。
1.12.Apache – TraceEnable
可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该用户身份查看或变更用户记录以及执行事务
譯者:Nica < nicaliu at gmail dot com >
【Nica 註:這是 f 檔裡的設定指令!~】
Description:    Determines the behaviour on TRACE requests
Syntax:    TraceEnable [on|off|extended]
Default:    TraceEnable on

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。