post

全国Top10网站漏洞排行及解决方案

“您管理了 10 个站点,存在 0 个高危漏洞,0 个严重漏洞,0 个警告漏洞。太棒了,一个漏洞都没有,您简直是站长中的高富帅!” 这是在360网站安全检测后的评语。针对网站的检测目前发现阿里测(http://alibench.com/)和360网站安全检测(http://webscan.360.cn/)两个比较不错,阿里测检测的结果更加专业更加全面,而360安全检测比较简单有效。

全国Top10网站漏洞排行及解决方案

下面为大家整理了360安全检测中最常见的10种漏洞,还有解决方案。

全国Top10 漏洞排行
# 漏洞名称 覆盖全国网站 安全性降低
1 发现敏感名称的目录漏洞 49% 10%
2 跨站脚本攻击漏洞 32% 40%
3 SQL注入漏洞(盲注) 23% 40%
4 SQL注入漏洞 20% 40%
5 页面异常导致本地路径泄漏 14% 20%
6 启用了自动目录列表功能 13% 20%
7 服务器启用了TRACE 方法 13% 10%
8 服务器启用了DELETE 方法 13% 10%
9 敏感名称的文件漏洞 10% 10%
10 存在网站目录可写权限 10% 40%

1、发现敏感名称的目录漏洞

描述:
目标服务器上存在敏感名称的目录。如/admin、/conf、/backup、/db等这些目录中有可能包含了大量的敏感文件和脚本,如服务器的配置信息或管理脚本等。
危害:
如果这些名称敏感的目录中包含了危险的功能或信息,恶意攻击者有可能利用这些脚本或信息直接获取目标服务器的控制权或基于这些信息实施进一步的攻击。
解决方案:
如果这些目录中包含了敏感内容,请删除这些目录,或者正确设置权限,禁止用户访问。

2、跨站脚本攻击漏洞

描述:
目标存在跨站脚本攻击。
1.跨站脚本攻击就是指恶意攻击者向网页中插入一段恶意代码,当用户浏览该网页时,嵌入到网页中的恶意代码就会被执行。
2.跨站脚本攻击漏洞,英文名称Cross Site Scripting,简称CSS又叫XSS。它指的是恶意攻击者向Web页面中插入一段恶意代码,当用户浏览该页面时,嵌入到Web页面中的恶意代码就会被执行,从而达到恶意攻击者的特殊目的。
危害:
1.恶意用户可以使用该漏洞来盗取用户账户信息、模拟其他用户身份登录,更甚至可以修改网页呈现给其他用户的内容。
2.恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash应用的漏洞来进行攻击,从而来达到获取其他的用户信息目的。
解决方案:
建议过滤用户输入的数据,切记用户的所有输入都要认为是不安全的。360安全检查上有提供文件,但是我试用后会影响WordPress基本使用,就弃用了。

3、SQL注入漏洞(盲注)

描述:
目标存在SQL注入漏洞。
1.SQL注入攻击就是攻击者通过欺骗数据库服务器执行非授权的任意查询过程。
2. SQL注入攻击就其本质而言,它利用的工具是SQL的语法,针对的是应用程序开发者在编程过程中的漏洞,“当攻击者能够操作数据,向应用程序中插入一些SQL语句时,SQL注入攻击就发生了”。实际上,SQL注入攻击是攻击者通过在应用程序中预先定义好的查询语句结尾加上额外的SQL语句元素,欺骗数据库服务器执行非授权的任意查询。SQL注入漏洞是目前互联网最常见也是影响非常广泛的漏洞。从2007年下半年开始,很多网站被篡改。攻击者利用SQL注入漏洞修改了用于生成动态网页的数据库中的文本,从而注入了恶意的HTML script标签。这样的攻击在2008年第一季度开始加速传播,并且持续影响有漏洞的Web程序。
危害:
被SQL注入后可能导致以下后果:
1.网页被篡改
2.数据被篡改
3. 核心数据被窃取
4. 数据库所在服务器被攻击变成傀儡主机
解决方案:
如下一些方法能够防止注入攻击:
1.在网页代码中需要对用户输入的数据进行严格过滤。
2.部署Web应用防火墙
3.对数据库操作进行监控
建议过滤用户输入的数据,切记用户的所有输入都要认为是不安全的。

4、SQL注入漏洞

同上

5、页面异常导致本地路径泄漏

描述:
由于页面异常(如404页面),在报错信息中包含了本地路径。
1.本地路径泄漏漏洞允许恶意攻击者获取服务器上的WEB根目录的全路径(通常在出错信息中)。
2. 通过此漏洞可以推断出其它资源在服务器上的本地路径,配合其它漏洞,恶意攻击者就有可能实施进一步的攻击。
危害:
恶意攻击者通过利用本地路径信息,在配合其它漏洞对目标服务器实施进一步的攻击。
解决方案:
1、由WEB应用程序实现自己的错误处理/管理系统;
2、如果是PHP应用程序/Apache服务器,可以通过修改php脚本、配置php.ini以及httpd.conf中的配置项来禁止显示错误信息:
修改php.ini中的配置行: display_errors = off
修改httpd.conf/apache2.conf中的配置行: php_flag display_errors off
修改php脚本,增加代码行: ini_set(‘display_errors’, false);

6、启用了自动目录列表功能

描述:
目标目录启用了自动目录列表功能。
1.当用户访问的网址是某个目录地址的时候,服务器自动显示该目录所包含的文件列表内容。
– 收起
2. 当用户请求的URL地址是某个目录地址的时候,如果该目录开启了自动列表功能并且WEB服务器默认的页面文件(如index.html/home.html/default.htm/default.asp/default.aspx/index.php等)也不存在,那么该目录所包含的文件就会被自动的以列表的形式显示出来,这样可能就会导致敏感文件被泄露。
危害:
1.任何人都可以浏览该目录下的所有文件列表。
– 收起
2. 如果该目录不存在默认的主页面文件,并且该目录包含了敏感的文件内容(如应用程序源码文件或其它的重要文件内容),那么将导致敏感文件内容外泄,从而对企业造成直接的经济损失或为恶意攻击者提供进一步攻击的有效信息。
解决方案:
1、如果必须开启该目录的目录列表功能,则应对该目录下的文件进行详细检查,确保不包含敏感文件。
2、如非必要,请重新配置WEB服务器,禁止该目录的自动目录列表功能。

附:1. Apache禁止列目录:
方法一,修改 httpd.conf配置文件,查找 Options Indexes FollowSymLinks,修改为 Options -Indexes;
方法二,在www 目录下的修改.htaccess 配置文件,加入 Options -Indexes。 (推荐)
2. Tomcat 禁止列目录:
在Tomcat的conf/web.xml文件里把listings值改为false,即,
……
listings
false
……

p.s.修改完httpd.conf后,一定记得重启web服务,才能生效噢!

7、服务器启用了TRACE 方法

描述:
目标WEB服务器启用了TRACE Method。
1.TRACE_Method是HTTP(超文本传输)协议定义的一种协议调试方法,该方法会使服务器原样返回任意客户端请求的任何内容。
2. 由于该方法会原样返回客户端提交的任意数据,因此可以用来进行跨站脚本(简称XSS)攻击,这种攻击方式又称为跨站跟踪攻击(简称XST)。
危害:
1. 恶意攻击者可以通过TRACE Method返回的信息了解到网站前端的一些信息,如缓存服务器等,从而为下一步的攻击提供便利。
2.恶意攻击者可以通过TRACE Method进行XSS攻击
3.即使网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息,那么通过TRACE Method恶意攻击者还是可以绕过这个限制读取到cookie信息。
解决方案:
1)2.0.55以上版本的Apache服务器,可以在httpd.conf的尾部添加:
TraceEnable off
2)如果你使用的是Apache:
– 确认rewrite模块激活(httpd.conf,下面一行前面没有#):
LoadModule rewrite_module modules/mod_rewrite.so
– 在各虚拟主机的配置文件里添加如下语句:
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^TRACE
RewriteRule .* – [F]
注:可以在httpd.conf里搜索VirtualHost确定虚拟主机的配置文件。

8、服务器启用了DELETE 方法

描述:
目标WEB服务器启用了DELETE Method。
DELETE Method是HTTP(超文本传输)协议定义的一种删除服务器指定文件的方法,该方法允许客户端删除服务器上的指定文件。
危害:
恶意攻击者可以使用该方法删除服务器上的任意文件,从而给用户造成数据损失,系统损坏等结果。
解决方案:
正确配置的WEB服务器不应允许任意用户随意使用DELETE方法在服务器上任意删除文件,因此建议:
1、如果实在必要,请进行配置,限定DELETE方法能够操作的目录为指定目录,该目录不应包含重要的文件;
2、如非必要,请禁用DELETE方法。

9、敏感名称的文件漏洞

描述:
目标服务器上存在敏感名称的文件。
如user.txt、password.txt等这些文件中有可能包含了大量的敏感信息,如服务器的帐号、密码等,攻击者通过利用这些信息有可能控制目标服务器或实施进一步的攻击。
危害:
恶意攻击者有可能利用这些从敏感文件中获取到的信息直接获取目标服务器的控制权或实施进一步的攻击。
解决方案:
如果这些文件中包含了敏感内容,请删除这些文件。

10、存在网站目录可写权限

描述:
目标服务器的目录启用了写权限。
1. 因为开放了写权限,所以任何人都能随意入添加,删除文件。
2. 通过HTTP协议的PUT方法,向该目录写入任意文件或以指定的内容覆盖当前目录下的现有文件。
危害:
1. 上传后门程序控制服务器,包括木马,后门,蠕虫。
2.恶意攻击者可以通过该方法向服务器上传后门程序,从而获取对服务器的完全控制权;同时可以通过该方法覆盖服务器上的任意文件,从而造成数据丢失或系统损坏等。
解决方案:
如非必要,请立刻禁用PUT方法,避免被黑客利用,植入后门。

数据来源于:http://webscan.360.cn/

Comments

  1. 有一些是可以避免的

  2. 有一些是可以避免的

  3. 我的自从换了主题后有两个漏洞,一个是“HTTP响应拆分漏洞”,一个是“任意网址跳转漏洞”。博主可有解决办法?

  4. 我的自从换了主题后有两个漏洞,一个是“HTTP响应拆分漏洞”,一个是“任意网址跳转漏洞”。博主可有解决办法?

  5. 360给我打了85分。。

  6. 360给我打了85分。。

  7. 博客网址之家 年后给博主拜年了 http://www.5isjw.com/blog 欢迎多多光临哦

  8. 博客网址之家 年后给博主拜年了 http://www.5isjw.com/blog 欢迎多多光临哦

  9. 可以参考,但不是绝对的

  10. 可以参考,但不是绝对的

  11. 早前被360说成是虚假欺诈网站,坑爹的!好好的一个生活类博客怎么就欺诈了- -!

  12. 早前被360说成是虚假欺诈网站,坑爹的!好好的一个生活类博客怎么就欺诈了- -!

  13. 哈哈,分享了啊,可以参考下。

  14. 哈哈,分享了啊,可以参考下。

  15. 查测都不可靠。

  16. [ali摔] 学习一下~~~~支持顶起

张衡Henry(在公司)进行回复 取消回复

*

· 1,979 次浏览