1.SQL注入

漏洞描述

Web程序中對于用戶提交的參數(shù)未做過濾直接拼接到SQL語句中執(zhí)行，導(dǎo)致參數(shù)中的特殊字符破壞了SQL語句原有邏輯，攻擊者可以利用該漏洞執(zhí)行任意SQL語句，如查詢數(shù)據(jù)、下載數(shù)據(jù)、寫入webshell、執(zhí)行系統(tǒng)命令以及繞過登錄限制等。

修復(fù)建議

代碼層最佳防御sql漏洞方案：使用預(yù)編譯sql語句查詢和綁定變量。

（1）使用預(yù)編譯語句，使用PDO需要注意不要將變量直接拼接到PDO語句中。所有的查詢語句都使用數(shù)據(jù)庫提供的參數(shù)化查詢接口，參數(shù)化的語句使用參數(shù)而不是將用戶輸入變量嵌入到SQL語句中。當(dāng)前幾乎所有的數(shù)據(jù)庫系統(tǒng)都提供了參數(shù)化SQL語句執(zhí)行接口，使用此接口可以非常有效的防止SQL注入攻擊。

（2）對進(jìn)入數(shù)據(jù)庫的特殊字符（’”<>&*;等）進(jìn)行轉(zhuǎn)義處理，或編碼轉(zhuǎn)換。

（3）確認(rèn)每種數(shù)據(jù)的類型，比如數(shù)字型的數(shù)據(jù)就必須是數(shù)字，數(shù)據(jù)庫中的存儲(chǔ)字段必須對應(yīng)為int型。

（4）數(shù)據(jù)長度應(yīng)該嚴(yán)格規(guī)定，能在一定程度上防止比較長的SQL注入語句無法正確執(zhí)行。

（5）網(wǎng)站每個(gè)數(shù)據(jù)層的編碼統(tǒng)一，建議全部使用UTF-8編碼，上下層編碼不一致有可能導(dǎo)致一些過濾模型被繞過。

（6）嚴(yán)格限制網(wǎng)站用戶的數(shù)據(jù)庫的操作權(quán)限，給此用戶提供僅僅能夠滿足其工作的權(quán)限，從而最大限度的減少注入攻擊對數(shù)據(jù)庫的危害。

（7）避免網(wǎng)站顯示SQL錯(cuò)誤信息，比如類型錯(cuò)誤、字段不匹配等，防止攻擊者利用這些錯(cuò)誤信息進(jìn)行一些判斷。

（8）過濾危險(xiǎn)字符，例如：采用正則表達(dá)式匹配union、sleep、and、select、load_file等關(guān)鍵字，如果匹配到則終止運(yùn)行。

2.XSS

漏洞描述

1、Web程序代碼中對用戶提交的參數(shù)未做過濾或過濾不嚴(yán)，導(dǎo)致參數(shù)中的特殊字符破壞了HTML頁面的原有邏輯，攻擊者可以利用該漏洞執(zhí)行惡意HTML/JS代碼、構(gòu)造蠕蟲、篡改頁面實(shí)施釣魚攻擊、以及誘導(dǎo)用戶再次登錄，然后獲取其登錄憑證等。

2、XSS攻擊對Web服務(wù)器本身雖無直接危害，但是它借助網(wǎng)站進(jìn)行傳播，對網(wǎng)站用戶進(jìn)行攻擊，竊取網(wǎng)站用戶賬號身份信息等，從而也會(huì)對網(wǎng)站產(chǎn)生較嚴(yán)重的威脅。

XSS攻擊可導(dǎo)致以下危害：

1、釣魚欺騙：最典型的就是利用目標(biāo)網(wǎng)站的反射型跨站腳本漏洞將目標(biāo)網(wǎng)站重定向到釣魚網(wǎng)站，或者通過注入釣魚java script腳本以監(jiān)控目標(biāo)網(wǎng)站的表單輸入，甚至攻擊者基于DHTML技術(shù)發(fā)起更高級的釣魚攻擊。

2、網(wǎng)站掛馬：跨站時(shí)，攻擊者利用Iframe標(biāo)簽嵌入隱藏的惡意網(wǎng)站，將被攻擊者定向到惡意網(wǎng)站上、或彈出惡意網(wǎng)站窗口等方式，進(jìn)行掛馬。

3、身份盜用：Cookie是用戶對于特定網(wǎng)站的身份驗(yàn)證標(biāo)志，XSS攻擊可以盜取用戶的cookie，從而利用該cookie盜取用戶對該網(wǎng)站的操作權(quán)限。

4、盜取網(wǎng)站用戶信息：當(dāng)竊取到用戶cookie從而獲取到用戶身份時(shí)，攻擊者可以盜取到用戶對網(wǎng)站的操作權(quán)限，從而查看用戶隱私信息。

5、垃圾信息發(fā)送：在社交網(wǎng)站社區(qū)中，利用XSS漏洞借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標(biāo)群。

6、劫持用戶Web行為：一些高級的XSS攻擊甚至可以劫持用戶的Web行為，從而監(jiān)視用戶的瀏覽歷史、發(fā)送與接收的數(shù)據(jù)等等。

7、XSS蠕蟲：借助XSS蠕蟲病毒還可以用來打廣告、刷流量、掛馬、惡作劇、破壞數(shù)據(jù)、實(shí)施DDoS攻擊等。

【一>所有資源關(guān)注我，私信回復(fù)“資料”獲取<一】
1、很多已經(jīng)買不到的絕版電子書
2、安全大廠內(nèi)部的培訓(xùn)資料
3、全套工具包
4、100份src源碼技術(shù)文檔
5、網(wǎng)絡(luò)安全基礎(chǔ)入門、Linux、web安全、攻防方面的視頻
6、應(yīng)急響應(yīng)筆記 7、 網(wǎng)絡(luò)安全學(xué)習(xí)路線
8、ctf奪旗賽解析
9、WEB安全入門筆記

修復(fù)建議

xss漏洞本質(zhì)上是一種html注入，也就是將html代碼注入到網(wǎng)頁中。那么其防御的根本就是在將用戶提交的代碼顯示到頁面上時(shí)做好一系列的過濾與轉(zhuǎn)義

（1）過濾輸入的數(shù)據(jù)，對例如：“ ‘ ”，“ “ ”，” < “，” > “，” on* “，script、iframe等危險(xiǎn)字符進(jìn)行嚴(yán)格的檢查。這里的輸入不僅僅是用戶可以直接交互的輸入接口，也包括HTTP請求中的Cookie中的變量，HTTP請求頭部中的變量等。

（2）不僅驗(yàn)證數(shù)據(jù)的類型，還要驗(yàn)證其格式、長度、范圍和內(nèi)容。

（3）不僅在客戶端做數(shù)據(jù)的驗(yàn)證與過濾，關(guān)鍵的過濾步驟在服務(wù)端進(jìn)行。

（4）對輸出到頁面的數(shù)據(jù)進(jìn)行相應(yīng)的編碼轉(zhuǎn)換，如HTML實(shí)體編碼、JS編碼等。對輸出的數(shù)據(jù)也要檢查，數(shù)據(jù)庫里的值有可能會(huì)在一個(gè)大網(wǎng)站的多處都有輸出，即使在輸入做了編碼等操作，在各處的輸出點(diǎn)時(shí)也要進(jìn)行檢查。

3.XXE

4.CSRF

漏洞描述：

CSRF是跨站請求偽造，不攻擊網(wǎng)站服務(wù)器，而是冒充用戶在站內(nèi)的正常操作。通常由于服務(wù)端沒有對請求頭做嚴(yán)格過濾引起的。CSRF會(huì)造成密碼重置，用戶偽造等問題，可能引發(fā)嚴(yán)重后果。絕大多數(shù)網(wǎng)站是通過 cookie 等方式辨識用戶身份，再予以授權(quán)的。所以要偽造用戶的正常操作，最好的方法是通過 XSS 或鏈接欺騙等途徑，讓用戶在本機(jī)（即擁有身份 cookie 的瀏覽器端）發(fā)起用戶所不知道的請求。CSRF攻擊會(huì)令用戶在不知情的情況下攻擊自己已經(jīng)登錄的系統(tǒng)。

修復(fù)建議

1、驗(yàn)證請求的Referer是否來自本網(wǎng)站，但可被繞過。

2、在請求中加入不可偽造的token，并在服務(wù)端驗(yàn)證token是否一致或正確，不正確則丟棄拒絕服務(wù)。

5.SSRF

漏洞描述

SSRF（Server-Side Request Forgery，服務(wù)器端請求偽造）：通俗的來說就是我們可以偽造服務(wù)器端發(fā)起的請求，從而獲取客戶端所不能得到的數(shù)據(jù)。SSRF漏洞形成的原因主要是服務(wù)器端所提供的接口中包含了所要請求的內(nèi)容的URL參數(shù)，并且未對客戶端所傳輸過來的URL參數(shù)進(jìn)行過濾。這個(gè)漏洞造成的危害有：

(1)、可以對外網(wǎng)、服務(wù)器所在內(nèi)網(wǎng)、本地進(jìn)行端口掃描，獲取一些服務(wù)的banner信息;
(2)、攻擊運(yùn)行在內(nèi)網(wǎng)或本地的應(yīng)用程序（比如溢出）;
(3)、對內(nèi)網(wǎng)Web應(yīng)用進(jìn)行指紋識別，通過訪問默認(rèn)文件實(shí)現(xiàn);
(4)、攻擊內(nèi)外網(wǎng)的Web應(yīng)用，主要是使用Get參數(shù)就可以實(shí)現(xiàn)的攻擊（比如Struts2漏洞利用，SQL注入等）;
(5)、利用File協(xié)議讀取本地文件。

修復(fù)建議

1、禁用不需要的協(xié)議，只允許HTTP和HTTPS請求，可以防止類似于file://, gopher://, ftp:// 等引起的問題。
2、白名單的方式限制訪問的目標(biāo)地址，禁止對內(nèi)網(wǎng)發(fā)起請求
3、過濾或屏蔽請求返回的詳細(xì)信息，驗(yàn)證遠(yuǎn)程服務(wù)器對請求的響應(yīng)是比較容易的方法。如果web應(yīng)用是去獲取某一種類型的文件。那么在把返回結(jié)果展示給用戶之前先驗(yàn)證返回的信息是否符合標(biāo)準(zhǔn)。
4、驗(yàn)證請求的文件格式
5、禁止跳轉(zhuǎn)
6、限制請求的端口為http常用的端口，比如 80、443、8080、8000等
7、統(tǒng)一錯(cuò)誤信息，避免用戶可以根據(jù)錯(cuò)誤信息來判斷遠(yuǎn)端服務(wù)器的端口狀態(tài)。

6.任意命令/代碼執(zhí)行

漏洞描述

命令或代碼執(zhí)行漏洞是指代碼未對用戶可控參數(shù)做過濾，導(dǎo)致直接帶入執(zhí)行命令和代碼，通過漏洞執(zhí)行惡意構(gòu)造的語句，執(zhí)行任意命令或代碼。攻擊者可在服務(wù)器上執(zhí)行任意命令，讀寫文件操作等，危害巨大。

修復(fù)建議

1、嚴(yán)格過濾用戶輸入的數(shù)據(jù)，禁止執(zhí)行非預(yù)期系統(tǒng)命令。

2、減少或不使用代碼或命令執(zhí)行函數(shù)

3、客戶端提交的變量在放入函數(shù)前進(jìn)行檢測

4、減少或不使用危險(xiǎn)函數(shù)

7.任意文件上傳

漏洞描述

文件上傳漏洞通常由于代碼中對文件上傳功能所上傳的文件過濾不嚴(yán)或web服務(wù)器相關(guān)解析漏洞未修復(fù)而造成的，如果文件上傳功能代碼沒有嚴(yán)格限制和驗(yàn)證用戶上傳的文件后綴、類型等，攻擊者可通過文件上傳點(diǎn)上傳任意文件，包括網(wǎng)站后門文件（webshell）控制整個(gè)網(wǎng)站。

修復(fù)建議

1、對上傳文件類型進(jìn)行驗(yàn)證，除在前端驗(yàn)證外在后端依然要做驗(yàn)證，后端可以進(jìn)行擴(kuò)展名檢測，重命名文件，MIME類型檢測以及限制上傳文件的大小等限制來防御，或是將上傳的文件其他文件存儲(chǔ)服務(wù)器中。

2、嚴(yán)格限制和校驗(yàn)上傳的文件，禁止上傳惡意代碼的文件。同時(shí)限制相關(guān)上傳文件目錄的執(zhí)行權(quán)限，防止木馬執(zhí)行。

3、對上傳文件格式進(jìn)行嚴(yán)格校驗(yàn)，防止上傳惡意腳本文件；

4、嚴(yán)格限制上傳的文件路徑。

5、文件擴(kuò)展名服務(wù)端白名單校驗(yàn)。

6、文件內(nèi)容服務(wù)端校驗(yàn)。

7、上傳文件重命名。

8、隱藏上傳文件路徑。

8.目錄穿越/目錄遍歷

漏洞描述

文件下載或獲取文件顯示內(nèi)容頁面由于未對傳入的文件名進(jìn)行過濾，利用路徑回溯符…/跳出程序本身的限制目錄，來下載或顯示任意文件。

修復(fù)建議

對傳入的文件名參數(shù)進(jìn)行過濾，并且判斷是否是允許獲取的文件類型，過濾回溯符…/。

9.文件包含

漏洞描述

本地文件包含是指程序在處理包含文件的時(shí)候沒有嚴(yán)格控制。利用這個(gè)漏洞，攻擊者可以先把上傳的文件、網(wǎng)站日志文件等作為代碼執(zhí)行或直接顯示出來，或者包含遠(yuǎn)程服務(wù)器上的惡意文件，進(jìn)而獲取到服務(wù)器權(quán)限。

修復(fù)建議

1、嚴(yán)格檢查變量是否已經(jīng)初始化。

2、對所有輸入提交可能包含的文件地址，包括服務(wù)器本地文件及遠(yuǎn)程文件，進(jìn)行嚴(yán)格的檢查，參數(shù)中不允許出現(xiàn)./和…/等目錄跳轉(zhuǎn)符。

3、嚴(yán)格檢查文件包含函數(shù)中的參數(shù)是否外界可控。

10.弱口令

漏洞描述

由于網(wǎng)站用戶帳號存在弱口令，導(dǎo)致攻擊者通過弱口令可輕松登錄到網(wǎng)站中，從而進(jìn)行下一步的攻擊，如上傳webshell，獲取敏感數(shù)據(jù)。

另外攻擊者利用弱口令登錄網(wǎng)站管理后臺，可執(zhí)行任意管理員的操作。

修復(fù)建議

1、強(qiáng)制用戶首次登錄時(shí)修改默認(rèn)口令，或是使用用戶自定義初始密碼的策略；

2、完善密碼策略，信息安全最佳實(shí)踐的密碼策略為8位（包括）以上字符，包含數(shù)字、大小寫字母、特殊字符中的至少3種。

3、增加人機(jī)驗(yàn)證機(jī)制，限制ip訪問次數(shù)。

11.暴力破解

漏洞描述

由于沒有對登錄頁面進(jìn)行相關(guān)的人機(jī)驗(yàn)證機(jī)制，如無驗(yàn)證碼、有驗(yàn)證碼但可重復(fù)利用以及無登錄錯(cuò)誤次數(shù)限制等，導(dǎo)致攻擊者可通過暴力破解獲取用戶登錄賬號和密碼。

修復(fù)建議

1、如果用戶登錄次數(shù)超過設(shè)置的閾值，則鎖定帳號(有惡意登錄鎖定帳號的風(fēng)險(xiǎn))

2、如果某個(gè) IP登錄次數(shù)超過設(shè)置的閾值，則鎖定IP

3、增加人機(jī)驗(yàn)證機(jī)制

4、驗(yàn)證碼必須在服務(wù)器端進(jìn)行校驗(yàn)，客戶端的一切校驗(yàn)都是不安全的。

12.越權(quán)訪問

漏洞描述

由于沒有對用戶訪問角色的權(quán)限進(jìn)行嚴(yán)格的檢查及限制，導(dǎo)致當(dāng)前賬號可對其他賬號進(jìn)行相關(guān)操作，如查看、修改等。對低權(quán)限對高權(quán)限賬戶的操作為縱向越權(quán)，相同權(quán)限賬戶之間的操作成為橫向越權(quán)也稱水平越權(quán)。

修復(fù)建議

1、對用戶訪問角色的權(quán)限進(jìn)行嚴(yán)格的檢查及限制。
2、在一些操作時(shí)可以使用session對用戶的身份進(jìn)行判斷和控制

13.未授權(quán)訪問

漏洞描述

由于沒有對網(wǎng)站敏感頁面進(jìn)行登錄狀態(tài)、訪問權(quán)限的檢查，導(dǎo)致攻擊者可未授權(quán)訪問，獲取敏感信息及進(jìn)行未授權(quán)操作。

修復(fù)建議

1、頁面進(jìn)行嚴(yán)格的訪問權(quán)限的控制以及對訪問角色進(jìn)行權(quán)限檢查。
2、可以使用session對用戶的身份進(jìn)行判斷和控制。

14.列目錄

漏洞描述

由于web服務(wù)器配置不當(dāng)，開啟了目錄瀏覽，攻擊者可獲得服務(wù)器上的文件目錄結(jié)構(gòu)，獲取敏感文件。

修復(fù)建議

1、通過修改配置文件，禁止中間件（如IIS、apache、tomcat）的文件目錄索引功能
2、設(shè)置目錄訪問權(quán)限

15.PHP反序列化

漏洞描述

php反序列化漏洞也叫PHP對象注入，形成原因?yàn)槌绦蛭磳τ脩糨斎氲男蛄谢�字符串進(jìn)行檢測，導(dǎo)致攻擊者可以控制反序列化過程，從而導(dǎo)致代碼執(zhí)行、文件操作、執(zhí)行數(shù)據(jù)庫操作等不可控后果。這一類攻擊在java、python等面向?qū)ο笳Z言中均存在。

修復(fù)建議

1、對傳入的對象進(jìn)行嚴(yán)格的過濾檢查

2、在反序列化過程執(zhí)行的文件讀寫、命令或代碼執(zhí)行函數(shù)中是否有用戶可控的參數(shù)。

16.http slow拒絕服務(wù)攻擊

漏洞描述

按照設(shè)計(jì)，HTTP協(xié)議要求服務(wù)器在處理之前完全接收請求。 如果HTTP請求沒有完成，或者傳輸速率非常低，服務(wù)器會(huì)保持其資源忙于等待其余數(shù)據(jù)。如果服務(wù)器保持太多的資源請求和處理，這將造成一個(gè)拒絕服務(wù)。嚴(yán)重者一臺主機(jī)即可讓web運(yùn)行緩慢甚至是崩潰。

修復(fù)建議

對于 Apache 可以做以下優(yōu)化（其他服務(wù)器原理相同）：

1、設(shè)置合適的 timeout 時(shí)間（Apache 已默認(rèn)啟用了 reqtimeout 模塊），規(guī)定了 Header 發(fā)送的時(shí)間以及頻率和 Body 發(fā)送的時(shí)間以及頻率

2、增大 MaxClients(MaxRequestWorkers)：增加最大的連接數(shù)。根據(jù)官方文檔，兩個(gè)參數(shù)是一回事，版本不同，MaxRequestWorkers was called MaxClients before version 2.3.13.Theold name is still supported.

3、默認(rèn)安裝的 Apache 存在 Slow Attack 的威脅，原因就是雖然設(shè)置的 timeoute，但是最大連接數(shù)不夠，如果攻擊的請求頻率足夠大，仍然會(huì)占滿Apache的所有連接

17.CRLF注入

漏洞描述

CRLF 是“回車 +換行”（\r\n）的簡稱。在 HTTP 協(xié)議中，HTTPHeader 與 HTTP Body 是用兩個(gè) CRLF 符號進(jìn)行分隔的，瀏覽器根據(jù)這兩個(gè) CRLF 符號來獲取 HTTP 內(nèi)容并顯示。因此，一旦攻擊者能夠控制 HTTP 消息頭中的字符，注入一些惡意的換行，就能注入一些會(huì)話 Cookie 或者 HTML 代碼。

修復(fù)建議

1、過濾 \r 、\n 及其各種編碼的換行符，避免輸入的數(shù)據(jù)污染到其他 HTTP 消息頭。

18.LDAP注入

漏洞描述

由于Web 應(yīng)用程序沒有對用戶發(fā)送的數(shù)據(jù)進(jìn)行適當(dāng)過濾和檢查，攻擊者可修改LDAP 語句的結(jié)構(gòu)，并且以數(shù)據(jù)庫服務(wù)器、Web 服務(wù)器等的權(quán)限執(zhí)行任意命令，許可權(quán)可能會(huì)允許查詢、修改或除去 LDAP 樹狀構(gòu)造內(nèi)任何數(shù)據(jù)。

修復(fù)建議

對用戶的輸入內(nèi)容進(jìn)行嚴(yán)格的過濾。

19.URL 跳轉(zhuǎn)

漏洞描述

有的Web 應(yīng)用程序中使用URL參數(shù)中的地址作為跳轉(zhuǎn)鏈接的功能 ，攻擊者可實(shí)施釣魚、惡意網(wǎng)站跳轉(zhuǎn)等攻擊。

修復(fù)建議

1、在進(jìn)行頁面跳轉(zhuǎn)前校驗(yàn)傳入的URL是否為可信域名。

2、白名單規(guī)定跳轉(zhuǎn)鏈接

20.明文傳輸

漏洞描述

用戶登錄過程中使用明文傳輸用戶登錄信息，若用戶遭受中間人攻擊時(shí)，攻擊者可直接獲取該用戶登錄賬戶，從而進(jìn)行進(jìn)一步滲透。

修復(fù)建議

1、用戶登錄信息使用加密傳輸，如密碼在傳輸前使用安全的算法加密后傳輸，可采用的算法包括：不可逆hash算法加鹽（4位及以上隨機(jī)數(shù)，由服務(wù)器端產(chǎn)生）；安全對稱加密算法，如AES(128、192、256位)，且必須保證客戶端密鑰安全，不可被破解或讀出；非對稱加密算法，如RSA(不低于1024位)、SM2等。

2、使用https來保證傳輸?shù)陌踩��?/p>

21.網(wǎng)頁木馬

漏洞描述

經(jīng)滲透測試發(fā)現(xiàn)目標(biāo)站點(diǎn)存在webshell，攻擊者可直接爆破口令使用木馬，非常低成本的進(jìn)行惡意操作。

修復(fù)建議

1、確認(rèn)并刪除木馬文件，并進(jìn)行本地文件漏洞掃描排查是否還存在有其他木馬。

2、發(fā)現(xiàn)并及時(shí)修復(fù)已存在的漏洞。

3、通過查看日志、服務(wù)器殺毒等安全排查，確保服務(wù)器未被留下后門

22.備份文件泄露

漏洞描述

網(wǎng)站備份文件或、敏感信息文件存放在某個(gè)網(wǎng)站目錄下，攻擊者可通過文件掃描等方法發(fā)現(xiàn)并下載該備份文件，導(dǎo)致網(wǎng)站敏感信息泄露。

修復(fù)建議

1、不在網(wǎng)站目錄下存放網(wǎng)站備份文件或敏感信息的文件。

2、如需存放該類文件，請將文件名命名為難以猜解的無規(guī)則字符串。

23.敏感信息泄露

漏洞描述

在頁面中或者返回的響應(yīng)包中泄露了敏感信息，通過這些信息，給攻擊者滲透提供了非常多的有用信息。

修復(fù)建議

1、如果是探針或測試頁面等無用的程序建議刪除，或者修改成難以猜解的名字。

2、不影響業(yè)務(wù)或功能的情況下刪除或禁止訪問泄露敏感信息頁面。

3、在服務(wù)器端對相關(guān)敏感信息進(jìn)行模糊化處理。

4、對服務(wù)器端返回的數(shù)據(jù)進(jìn)行嚴(yán)格的檢查，滿足查詢數(shù)據(jù)與頁面顯示數(shù)據(jù)一致。

24.短信/郵件轟炸

漏洞描述

由于沒有對短信或者郵件發(fā)送次數(shù)進(jìn)行限制，導(dǎo)致可無限次發(fā)送短信或郵件給用戶，從而造成短信轟炸，進(jìn)而可能被大量用戶投訴，從而影響公司聲譽(yù)。

修復(fù)建議

在服務(wù)器限制發(fā)送短信或郵件的頻率，如同一賬號1分鐘只能發(fā)送1次短信或郵件，一天只能發(fā)送3次。
25.phpinfo信息泄漏

漏洞描述

Web站點(diǎn)的某些測試頁面可能會(huì)使用到PHP的phpinfo()函數(shù)，會(huì)輸出服務(wù)器的關(guān)鍵信息，造成服務(wù)器信息泄露，為攻擊提供有利的信息。

修復(fù)建議

1、刪除phpinfo 函數(shù)。

2、若文件無用可直接刪除。

26.IIS短文件名泄露漏洞

漏洞描述

Internet Information Services（IIS，互聯(lián)網(wǎng)信息服務(wù)）是由微軟公司提供的基于運(yùn)行Microsoft Windows的互聯(lián)網(wǎng)基本服務(wù)。 Microsoft IIS在實(shí)現(xiàn)上存在文件枚舉漏洞，攻擊者可利用此漏洞枚舉網(wǎng)絡(luò)服務(wù)器根目錄中的文件。危害：攻擊者可以利用“~”字符猜解或遍歷服務(wù)器中的文件名，或?qū)�IIS服務(wù)器中的.Net Framework進(jìn)行拒絕服務(wù)攻擊。

攻擊者可通過該漏洞嘗試獲取網(wǎng)站服務(wù)器文件的文件名，達(dá)到獲取更多信息來入侵服務(wù)器的目的。

修復(fù)建議

修改Windows配置，關(guān)閉短文件名功能。

1.關(guān)閉NTFS 8.3文件格式的支持。該功能默認(rèn)是開啟的，對于大多數(shù)用戶來說無需開啟。

2.如果是虛擬主機(jī)空間用戶,可采用以下修復(fù)方案：

1）修改注冊列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\
NtfsDisable8dot3NameCreation的值為1(此修改只能禁止NTFS8.3格式文件名創(chuàng)建,已經(jīng)存在的文件的短文件名無法移除)。

2）如果你的web環(huán)境不需要asp.net的支持你可以進(jìn)入Internet 信息服務(wù)(IIS)管理器 — Web 服務(wù)擴(kuò)展 - ASP.NET 選擇禁止此功能。

3）升級net framework 至4.0以上版本。

3.將web文件夾的內(nèi)容拷貝到另一個(gè)位置，比如D:\www到D:\www.back，然后刪除原文件夾D:\www，再重命名D:\www.back到D:\www。如果不重新復(fù)制，已經(jīng)存在的短文件名則是不會(huì)消失的。

27.應(yīng)用程序錯(cuò)誤信息泄露

漏洞描述

攻擊者可通過特殊的攻擊向量，使web服務(wù)器出現(xiàn)500、403等相關(guān)錯(cuò)誤，導(dǎo)致信息泄漏如絕對路徑、webserver版本、源代碼、sql語句等敏感信息，惡意攻擊者很有可能利用這些信息實(shí)施進(jìn)一步的攻擊。

修復(fù)建議

1、自定義錯(cuò)誤頁面或使用統(tǒng)一的錯(cuò)誤頁面提示。

28.Apache Tomcat默認(rèn)文件

漏洞描述

Apache Tomcat默認(rèn)樣例文件沒有刪除或限制訪問，可能存在cookie、session偽造，進(jìn)行后臺登錄操作

修復(fù)建議

1、刪除樣例文件

2、限制文件訪問權(quán)限

29.Crossdomain.xml 配置不當(dāng)

漏洞描述

網(wǎng)站根目錄下的 crossdomain.xml 文件指明了遠(yuǎn)程Flash 是否可以加載當(dāng)前網(wǎng)站的資源（圖片、網(wǎng)頁內(nèi)容、Flash等）。如果配置不當(dāng)，可能導(dǎo)致遭受跨站請求偽造（CSRF）攻擊。

修復(fù)建議

對于不需要從外部加載資源的網(wǎng)站，在 crossdomain.xml 文件中更改allow-access-from的domain屬性為域名白名單。
30.目標(biāo)服務(wù)器啟用了不安全 HTTP 方法

漏洞描述

目標(biāo)服務(wù)器啟用了不安全的傳輸方法，如PUT、TRACE、DELETE、MOVE等，這些方法表示可能在服務(wù)器上使用了 WebDAV，由于dav方法允許客戶端操縱服務(wù)器上的文件，如上傳、修改、刪除相關(guān)文件等危險(xiǎn)操作，如果沒有合理配置dav，有可能允許未授權(quán)的用戶對其進(jìn)行利用，修改服務(wù)器上的文件。

修復(fù)建議

1、關(guān)閉不安全的傳輸方法，只開啟POST、GET方法。

2、如果服務(wù)器不使用 WebDAV 可直接禁用，或?yàn)樵试Swebdav的目錄配置嚴(yán)格的訪問權(quán)限，如認(rèn)證方法，認(rèn)證需要的用戶名，密碼。

31.weblogic SSRF服務(wù)器請求偽造

漏洞描述

目標(biāo)存在weblogic SSRF服務(wù)器請求偽造漏洞。WebLogic是用于開發(fā)、集成、部署和管理大型分布式Web應(yīng)用、網(wǎng)絡(luò)應(yīng)用和數(shù)據(jù)庫應(yīng)用的Java應(yīng)用服務(wù)器。SSRF(Server-Side Request Forgery:服務(wù)器端請求偽造) 是一種由攻擊者構(gòu)造形成由服務(wù)端發(fā)起請求的一個(gè)安全漏洞。一般情況下，SSRF攻擊的目標(biāo)是從外網(wǎng)無法訪問的內(nèi)部系統(tǒng)。（正是因?yàn)樗�是由服�?wù)端發(fā)起的，所以它能夠請求到與它相連而與外網(wǎng)隔離的內(nèi)部系統(tǒng)）。Weblogic中間件默認(rèn)帶有“UDDI 目錄瀏覽器”且為未授權(quán)訪問，通過該應(yīng)用，可進(jìn)行無回顯的SSRF請求。攻擊者可利用該漏洞對企業(yè)內(nèi)網(wǎng)進(jìn)行大規(guī)模掃描，了解內(nèi)網(wǎng)結(jié)構(gòu)，并可能結(jié)合內(nèi)網(wǎng)漏洞直接獲取服務(wù)器權(quán)限。

修復(fù)建議

1、若不影響業(yè)務(wù)則可刪除uddiexplorer文件夾

2、限制uddiexplorer應(yīng)用只能內(nèi)網(wǎng)訪問

32.Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞（S2-019）

漏洞描述

Apache Struts2的“Dynamic MethodInvocation”機(jī)制是默認(rèn)開啟的，僅提醒用戶如果可能的情況下關(guān)閉此機(jī)制，如果未關(guān)閉此機(jī)制將導(dǎo)致遠(yuǎn)程代碼執(zhí)行漏洞，遠(yuǎn)程攻擊者可利用此漏洞在受影響應(yīng)用上下文中執(zhí)行任意代碼。

修復(fù)建議

1、目前廠商已經(jīng)發(fā)布了升級補(bǔ)丁以修復(fù)這個(gè)安全問題，請到廠商的主頁下載。

2、或者手工設(shè)置struts.xml文件struts.enable.DynamicMethodInvocation"value=“false”/>

33.Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞（S2-037）

漏洞描述

Apache Struts2在使用REST插件時(shí)，攻擊者可以繞過動(dòng)態(tài)方法執(zhí)行的限制，調(diào)用惡意表達(dá)式執(zhí)行遠(yuǎn)程代碼。

修復(fù)建議

建議用戶到官方獲取最新補(bǔ)丁或者最新版本程序。

34.Apache Struts2 DevMode 遠(yuǎn)程代碼執(zhí)行漏洞

漏洞描述

為了便于開發(fā)人員調(diào)試程序，Struts2提供了一個(gè)devMode模式，可以方便查看程序錯(cuò)誤以及日志等信息。當(dāng)Struts2中的devMode模式設(shè)置為true時(shí)，存在嚴(yán)重遠(yuǎn)程代碼執(zhí)行漏洞。如果WebService 啟動(dòng)權(quán)限為最高權(quán)限時(shí)，可遠(yuǎn)程執(zhí)行任意命令，包括關(guān)機(jī)、建立新用戶、以及刪除服務(wù)器上所有文件等等。

修復(fù)建議

建議用戶到官方獲取最新補(bǔ)丁或者最新版本程序。

或者將struts.properties中的devMode設(shè)置為false，或是在struts.xml中添加如下代碼： 。

35.Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞（S2-045）

漏洞描述

Apache Struts2的Jakarta Multipartparser插件存在遠(yuǎn)程代碼執(zhí)行漏洞，漏洞編號為CVE-2017-5638。攻擊者可以在使用該插件上傳文件時(shí)，修改HTTP請求頭中的Content-Type值來觸發(fā)該漏洞，導(dǎo)致遠(yuǎn)程執(zhí)行代碼。

修復(fù)建議

檢測方式查看web目錄下/WEB-INF/lib/目錄下的struts-core.x.x.jar ，如果這個(gè)版本在Struts2.3.5 到 Struts2.3.31 以及 Struts2.5 到 Struts2.5.10之間則存在漏洞。

1、建議用戶到官方獲取最新補(bǔ)丁或者最新版本程序。

2、更新至Strusts2.3.32或者Strusts2.5.10.1，或使用第三方的防護(hù)設(shè)備進(jìn)行防護(hù)。

3、臨時(shí)解決方案：刪除
commons-fileupload-x.x.x.jar文件（會(huì)造成上傳功能不可用）。

4、修改WEB-INF/classes目錄下的配置

在WEB-INF/classes目錄下的struts.xml中的struts 標(biāo)簽下添加

；

在WEB-INF/classes/目錄下添加global.properties，文件內(nèi)容如下:

struts.messages.upload.error.InvalidContentTypeException=1

36.Apache Struts2 遠(yuǎn)程代碼執(zhí)行漏洞（S2-033）

漏洞描述

Apache Struts2在開啟動(dòng)態(tài)方法調(diào)用（DynamicMethod Invocation）的情況下，攻擊者使用REST插件調(diào)用惡意表達(dá)式可以遠(yuǎn)程執(zhí)行代碼。

修復(fù)建議

1、用戶到官方獲取最新補(bǔ)丁或者最新版本程序。

2、或者在允許的情況下禁用動(dòng)態(tài)方法調(diào)用（Dynamic Method Invocation），修改Struts2的配置文件struts.xml，將
struts.enable.DynamicMethodInvocation設(shè)置為“false”。

37.redis相關(guān)漏洞修復(fù)

漏洞描述

redis默認(rèn)沒有口令可能會(huì)造成未授權(quán)訪問造成信息泄露，若redis為高權(quán)限賬戶運(yùn)行，可能導(dǎo)致服務(wù)器權(quán)限丟失等。

安全建議

1.禁用一些高危命令

常見如：flushdb，flushall，config，keys 等

2.以低權(quán)限運(yùn)行 Redis 服務(wù)

3.為 Redis 添加密碼驗(yàn)證

4.禁止外網(wǎng)訪問 Redis

5.保證 authorized_keys 文件的安全