常见Web漏洞描述及加固建议.pdf

1、序号序号 漏洞名称漏洞名称 危险危险等级等级 漏洞描述、漏洞地址及解决方案漏洞描述、漏洞地址及解决方案 1 跨站脚本漏洞 高 漏洞描述：跨站脚本攻击是指应用程序没有对用户的输入，以及页面的输出进行严格地过滤，从而使恶意攻击者能往 Web 页面里插入恶意代码，当用户浏览该页面时，嵌入其中 Web 里面的恶意代码会被执行，从而达到恶意攻击者的特殊目的。漏洞地址：解决方案：1 对用户输入的数据进行严格过滤，包括但不限于以下字符及字符串 Javascript script src img onerror ()=,.;:#!/*2 根据页面的输出背景环境，对输出进行编码 3 使用一个统一的规则和库做输出

2、编码 4 对于富文本框，使用白名单控制输入，而不是黑名单 5 在 Cookie 上设置 HTTPOnly 标志，从而禁止客户端脚本访问 Cookie 2 SQL 注入漏洞 高 漏洞描述：当应用程序使用输入内容来构造动态 SQL 语句以访问数据库时，如果对输入的参数没有进行严格的过滤或者过滤不完整将会导致 SQL 注入攻击的产生。恶意用户通过构造特殊的 SQL 查询语句把 SQL 命令插入到 Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的 SQL 命令。从而可以获取到数据库的相关信息，包括数据库账号密码信息，甚至可上传木马，从而控制服务器。漏洞地址：解决方案：1 对

3、用户的输入进行严格过滤，包括所有的参数，URL 和HTTP 头部等所有需要传给数据库的数据。包括但不限于以下字符及字符串 select and or like regxp from where update exec order by having drop delete(),.;:#%+-_=/*2 预编译 SQL 语句，而不要动态组装 SQL 语句，否则必须确保在使用输入的数据组装成 SQL 语句之前，对特殊字符进行预处理。3 以最小权限执行 SQL 语句 3 IIS 波浪字符目录枚举漏洞 高 漏洞描述：Microsoft IIS 处理波浪符号存在一个短文件/文件夹名泄露问题，攻击者可利用

4、此漏洞枚举 web 目录中的文件，从而获取敏感信息。解决方案：1 升级.NET Framework：https:/ 2 或修改注册表HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlFileSystem NtfsDisable8dot3NameCreation=dword:1 IIS 短文件名枚举漏洞 高 漏洞描述：Microsoft IIS 处理波浪符号存在一个短文件/文件夹名泄露问题，攻击者可利用此漏洞枚举 web 目录中的文件，从而获取敏感信息。解决方案：1 升级.NET Framework：https:/ 2 或修改注册表HKEY_LOCA

5、L_MACHINESYSTEMCurrentControlSetControlFileSystem NtfsDisable8dot3NameCreation=dword:1 4 敏感信息传输未加密 中 漏洞描述：诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递，任何以明文传给服务器的信息都可能被监听窃取。漏洞地址：解决方案：1 对敏感信息进行加密后再传输 2 传输敏感信息页面采用 https 协议 慢 HTTP 拒绝服务攻击漏洞 中 漏洞描述：根据 HTTP 协议规定，服务器在处理请求之前，需要接收完整的 HTTP 请求。所以如果 HTTP 请求未接收完整，或者网络传输速率非常

6、慢，服务器会保留其资源，直到其余的数据也接收完成为止。如果未完成的请求过多，就会占用服务器大量资源，从而导致拒绝服务攻击。攻击者利用此漏洞可只使用较少的资源即可导致系统崩溃，运行中断。解决方案：1 配置 WEB Server 相应文件，设置一个合适的超时时间（如5000ms），以及时释放资源。2 升级 WEB Server 版本。密 码 字 段 通 过GET 方法传输 中 漏洞描述：GET 是 Form 的默认方法。GET 方法是不安全的，因为在传输过程，数据被放在请求的 URL 中，而如今现有的很多服务器、代理服务器或者用户代理都会将请求 URL 记录到日志文件中，导致敏感信息在多个位置有副

7、本，增加了敏感信息泄露的风险。漏洞地址：解决方案：1 敏感信息应该采用 POST 方法提交，且提交前应进行加密 测试文件未删除 低 漏洞描述：web 应用程序在开发过程中，程序员为了测试代码功能，在 web 目录下放置测试文件，该文件一般没有采用相应的安全措施，另外还可能包含敏感信息。攻击者可能通过读取上述文件的内容，从而进一步攻击目标站点。漏洞地址：解决方案：1 将测试文件删除或者转移到其他合理的位置。2 测试应该在测试机上面进行，而非生产机。3使用的测试页面建议限制可访问的源地址范围，如只允许内网访问或只允许明确的个别互联网 IP 进行访问 ASP.NET Padding Oracle 高

8、 漏洞描述：Padding Oracle 漏洞原是 2010 年黑客大会发布出来的十大漏洞之一，主要是针对 ASPX 加密算法，通过提交的密钥撞击，可以破解出应该 WEB 应用的配置信息如数据库用户的连接密码。服务器如果开通远程数据库连接，直接给黑客攻击提供渗透渠道。如果输入的密文不合法，类库则会抛出异常，这便是一种提示。攻击者可以不断地提供密文，让解密程序给出提示，不断修正，最终得到的所需要的结果。解决方案：1 厂商提供补丁 http:/ 2 在网站根目录的 web.config 中设置 customError 为 On，并指定错误信息页面，如下所示 error.html 需自己创建。3 限

9、制能连接数据库的 IP 范围。不安全 HTTP 方法未禁用 高 漏洞描述：WebDAV（Web-based Distributed Authoring and Versioning）一种基于 HTTP 1.1 协议的通信协议。它扩展了 HTTP 1.1，在 GET、POST、HEAD 等几个 HTTP 标准方法以外添加了一些新的方法，使应用程序可直接对 Web Server 直接读写，还可以支持文件的版本控制。不合理的权限配置导致任意用户可以通过 PUT 方法直接上传任意文件到有写权限的目录，例如攻击者可上传 WebShell，从而控制网站。解决方案：1 限制 PUT、DELETE、SEARC

10、H、COPY、MOVE 等危险的方法的访问权限 2 如果不需要使用上述方法，应关闭方法 默认错误信息未屏蔽 低 漏洞描述：由于配置问题或代码问题访问目标出错时返回默认错误信息，可能包含 SQL 语句、Web 应用的物理路径、应用的版本信息等等。攻击者可以通过这些信息来进行下一步的攻击。漏洞地址：解决方案：1 优化代码从而避免程序报错 2 通过自定义错误页面来屏蔽错误信息，包括但不限于以下错误页面 400，401，403，404，405，500 等 3 系统正式上线后应关闭调试功能 备份文件泄露 中 漏洞描述：目标服务器上存在备份文件。恶意攻击者可以通过浏览器浏览其内容或直接下载到本地进行深入分

11、析。如果备份文件中包含了源码，恶意攻击者可以通过对源码的分析，会更加容易的找到程序的脆弱点。如果备份文件中包含了敏感的信息，则恶意攻击者有可能直接使用这些信息获取对目标服务器的控制。漏洞地址：解决方案：1检查服务器 WEB 路径下的特殊后缀文件，注意一定要同时包含隐藏文件 2删除无用的备份文件，对 WEB 源码目录建议仅设置可读权限，以免备份文件的写入 3备份文件不能存储在服务器 WEB 应用的路径中，建议备份存储在其他专用备份服务器或其他移动存储介质上 目录列表功能未禁用 中 漏洞描述：当用户访问的网址是某个目录地址的时候，服务器自动显示该目录所包含的文件列表内容。通过浏览服务器地址，可以查

12、看到此目录下的所有文件的名称，一些敏感的文件可能被获取（例如存放数据库连接账户的配置文件等）。解决方案：1如果该功能非必须，请禁用 2如果该功能为正常业务需要，请限制普通用户访问的范围仅为正常业务范围 CVS 信息泄露 中 漏洞描述：CVS 是一个 C/S 系统，多个开发人员通过一个中心版本控制系统来记录文件版本，从而达到保证文件同步的目的。CVS 版本控制系统是一种 GNU 软件包，主要用于在多人开发环境下的源码的维护。CVS 文件如果被非法访问会泄露管理账号和物理路径，攻击者能利用这些信息进一步进行攻击。漏洞地址：解决方案：1 配置敏感文件的访问权限 2 或移除敏感文件到非 Web 应用的

13、目录 SVN 信息泄露 高 漏洞描述：SVN 是 Subversion 的简称，是一个开放源代码的版本控制系统，相较于 RCS、CVS，它采用了分支管理系统，它的设计目标就是取代 CVS。主要用于在多人开发环境下的源码的维护，SVN 目录如果被非法访问，攻击者可通过该目录获取敏感信息，如网站服务器端源代码，从而利用这些信息进一步进行攻击。漏洞地址：解决方案：1 配置敏感文件的访问权限 2 或移除敏感文件到非 Web 应用的目录 SSL 证书过期 中 漏洞描述：远程服务器的 SSL 证书已经过期。远程服务使用SSL 进行通信有助于帮助用户识别所访问的是否经过认证的网站。如果证书已过期，浏览器会给

14、出相应警告提示，用户点击确认后可继续访问。如果通信流量被监听，也会提示证书存在问题。此时如果用户没注意到，而习惯性关闭警告窗口，导致通信流量被监听而未发觉。解决方案：1 购买或生成一个新的 SSL 证书来取代现有的。SSL 2.0 协议未禁用 中 漏洞描述：远程服务使用 SSL 2.0 进行通信连接加密，根据公开的漏洞曝露报告，此版本的协议存在一些加密缺陷，并已废弃多年。攻击者可以利用这些已公开的漏洞发动中间人攻击或解密受此影响的客户端之间的通信内容。解决方案：1 禁用 SSL 2.0 SSL 3.0 协议未禁用 中 漏洞描述：支持 SSLv3 协议的网站存在被中间人攻击的风险，“Poodle

15、”攻击（全称为Padding Oracle On Downloaded Legacy Encryption）可以提取出 SSL 连接中的加密数据相应的明文信息。攻击者可以利用这个漏洞发动中间人攻击或解密受此影响的客户端之间的通信内容。解决方案：1 禁用 SSL 3.0 密码明文存储 高 漏洞描述：诸如密码和信用卡号之类的敏感字段在数据库中必须加密之后再存储。否则敏感信息会容易泄露。解决方案：1 采用通用的标准加密算法，不建议使用自行开发的算法 2 对于不需要还原的信息应采用不可逆的加密算法，且需要增加随机值 管理地址泄露 中 漏洞描述：站点信息的更新和配置通常通过后台管理来实现的，所以管理地址

16、应该只有管理员知道，不向普通用户开放。web应用程序开发者或者站点维护者可能使用常用的后台地址名称来管理，比如 admin、manager 等容易猜测的关键字。攻击者可能通过爬虫程序或者使用常用的管理地址尝试访问目标站点，获取站点的后台管理地址。攻击者已知管理地址后，可能结合其他漏洞，从而非法进入后台管理系统。漏洞地址：解决方案：1 使用不易猜测的后台管理地址名称。2 网站前端程序和后台管理程序分离，比如为后台管理地址设置一个二级域名。3 限制允许对管理页面访问的 IP 范围。4 如果不需要通过以上管理地址进行管理，建议关闭相关功能。缺乏防暴力破解机制 中 漏洞描述：登录页面没有使用验证码作为

17、增强验证方式、密码错误次数限制或双因子认证等缺乏防暴力破解机制，攻击者可以利用口令破解工具进行表单破解从而获取正确的账号口令。漏洞地址：解决方案：1 登录页面增加图形验证码作为增强验证方式，建议图形验证码包含随机干扰像素、有扭曲、变形、重叠等元素，以增加口令破解难度。2 密码输入错误超过一定次数情况，应采用锁定账号等安全措施。3 采用双因子认证机制，如手机短信验证、U 盾等。配置文件泄露 中 漏洞描述：应用程序的设置是通过配置文件来实现的，这些设置中包含敏感信息。攻击者了解应用程序的具体配置文件内容，有利于进一步攻击。漏洞地址：解决方案：1 限制可以访问配置文件及其目录的权限，只允许管理员访问

18、、修改。敏感文件泄露 中 漏洞描述：。漏洞地址：解决方案：1 限制可以访问文件及其目录的权限，只允许管理员访问、修改。jQuery location.hash 跨站脚本漏洞 中 漏洞描述：Web 应用程序中使用了低版本的 jQuery，由于在低版本的 jQuery 的元素 location.hash 对输出数据过滤不够严格，导致调用 location.hash 会存在跨站脚本执行漏洞，从而威胁网站安全。该漏洞在 jQuery 1.6.3 已修复。漏洞地址：解决方案：更新到最新版本的 jQuery。下载漏洞地址：http:/ 中 漏洞描述：Web 网站中所调用的 JavaScript 库版本较低

19、，存在跨站脚本执行漏洞。漏洞地址：解决方案：1 更新升级相应的 JavaScript 库 Apache HTTP Server httpOnly Cookie 泄露漏洞 中 漏洞描述：Apache HTTP Server 在对状态代码 400 的默认错误响应的实现上存在 Cookie 信息泄露漏洞，成功利用后可允许攻击者获取敏感信息。该漏洞在 Apache HTTP Server 2.2.22-dev 中已修复。解决方案：1 升级 Apache HTTP Server 到最新版本（升级前做好备份）弱口令 高 漏洞描述：由于管理员安全意识不强，导致系统存在容易猜测的账号口令，如“admin”，“

20、123456”，“888888”test”等弱口令。攻击者可能通过尝试弱口令，从而非法进入系统。漏洞地址：解决方案：1修改口令，建议采用大小写字母，数字，特殊字符混合并且长度大于 8 位。2配置相应的密码策略，强制用户使用安全性相对较高的口令。3定期组织安全意识培训，提高管理员安全意识。用户名信息泄露 中 漏洞描述：网站登录失败、账号注册、密码找回等功能，有些网站会提示类似“用户名不存在”的错误，攻击者可以通过该提示先猜测出系统存在哪些账号，然后再进一步猜测密码，降低了暴力破解的成本。漏洞地址：解决方案：1 采用模糊提示，如“登录失败”即可。2 增加动态验证码机制，防止被枚举账号名。文件包含漏

21、洞 漏洞描述：由于开发人员编写源码，开放着将可重复使用的代码插入到单个的文件中，并在需要的时候将它们包含在特殊的功能代码文件中，然后包含文件中的代码会被解释执行。由于并没有针对代码中存在文件包含的函数入口做过滤，导致客户端可以提交恶意构造语句提交，并交由服务器端解释执行。文件包含攻击中 WEB 服务器源码里可能存在 inlcude()此类文件包含操作函数，可以通过客户端构造提交文件路径，是该漏洞攻击成功的最主要原因。漏洞地址：解决方案：1 对所有输入提交可能包含的文件地址，包括服务器本地文件及远程文件，进行严格的检查，参数中不允许出现./之类的目录跳转符。2 严格检查 include 类的文件

22、包含函数中的参数是否外界可控。3 不要仅仅在客户端做数据的验证与过滤，关键的过滤步骤在服务端进行。日志文件泄露 中 漏洞描述：日志文件是用于记录系统操作事件的记录文件或文件集合，操作系统有操作系统日志文件，数据库系统有数据库系统日志文件，等等。如果非授权用户可以访问这些信息，将会泄露敏感信息，可能包括用户名，数据库语句，字段等等。漏洞地址：解决方案：1 将日志文件转移到其他合理的位置。2 设置相应权限，只允许相关用户访问 Apache 软件版本较低 高 漏洞描述：主机使用的 Apache 软件版本过低（当前Apache/1.3.28）导致存在多个高危漏洞，可能存在溢出、注入、跨站脚本漏洞等等。

23、解决方案：1 升级 Apache 到最新版本，升级前请先做好备份。WebLogic 软 件版本较低 高 漏洞描述：主机使用的 WebLogic 软件版本过低导致存在多个中高危漏洞，可能存在溢出、注入、跨站脚本漏洞等等。解决方案：1 升级 WebLogic 到最新版本，升级前请先做好备份。示例文件未删除 中 漏洞描述：应用程序在 web 目录下默认存在用于演示的文件，而非业务需要的文件，有些情况演示文件可能只考虑如何对功能的演示，而未考虑安全问题，存在一定安全风险。漏洞地址：解决方案：1删除或者限制访问示例文件。帮助文档未删除 低 漏洞描述：应用程序在 web 目录下默认存在用于对程序进行说明的

24、文档，而非业务需要的文档，有些情况这些文档可能会泄露软件或服务器的敏感信息。漏洞地址：解决方案：1删除或者限制访问帮助文档。Struts 2 远程命令执行漏洞 紧急 漏洞描述：Struts 2 在 2.3.15.1 之前的版本，对“action:”,“redirect:”和“redirectAction:”后面的数据过滤不严格，由于其后面的数据会被作为 OGNL 表达式进行处理，从而攻击者可以构造恶意的数据，来达到执行远程命令的目的。解决方案：1升级 struts 至最新版本（升级前请做好备份）Tomcat 软件版本较低 高 漏洞描述：主机使用的 Tomcat 软件版本过低，导致存在多个高危漏

25、洞。包括溢出、跨站脚本漏洞、拒绝服务攻击漏洞等等。解决方案：1 升级 Tomcat 到最新版本，升级前请先做好备份。Nginx 软件版本较低 高 漏洞描述：主机使用的 Nginx 软件版本过低导致存在多个高危漏洞。包括溢出、拒绝服务攻击漏洞等等。解决方案：1 升级 Nginx 到最新版本，升级前请先做好测试及备份。PHP 软件版本较低 中 漏洞描述：主机使用的 PHP 软件版本过低导致存在多个高危漏洞。包括溢出、拒绝服务攻击漏洞等等。解决方案：1 升级 PHP 到最新版本，升级前请先做好备份。PHPinfo 信息泄露 中 漏洞描述：PHPinfo 页面包含了大量的关于 PHP 的当前状态信息，

26、PHP 的编译选项和扩展，PHP 版本，服务器信息和环境，PHP 环境，操作系统版本信息，web 应用物理路径和 PHP 的许可信息等等。漏洞地址：解决方案：1 限制 info.php 的访问权限 2 如果不需要使用该页面，应删除 info.php 文件 MySQL/MariaDB用户验证绕过漏洞 高 漏洞描述：当连接 MariaDB/MySQL 时，输入的密码会与期望的正确密码比较，由于不正确的处理，会导致即便是 memcmp()返回一个非零值，也会使 MySQL 认为两个密码是相同的。也就是说只要知道用户名，不断尝试就能够直接登入 SQL 数据库，大约 256 次就能够碰撞成功一次。受影响

27、的产品：MySQL 5.6.6 MySQL 5.5.24 MySQL 5.1.63 MariaDB 5.5.23 MariaDB 5.3.6 MariaDB 5.2.12 MariaDB 5.1.62 解决方案：1 升级相应补丁，建议升级前做好数据备份 框架注入漏洞 高 漏洞描述：如果对用户输入的数据未进行严格过滤，攻击者可构造标签 frame、iframe，包含伪造的登录框，引诱其他用户或管理员访问，并输入账号密码信息，从而发送到攻击者指定的服务器，达到窃取敏感信息的目的。漏洞地址：解决方案：1 对用户输入的数据进行严格过滤 2 根据页面的输出背景环境，对输出进行编码 3 使用一个统一的规则

28、和库做输出编码 OPTIONS 方法未禁用 低 漏洞描述：OPTIONS 方法可以查询 web 服务器所支持的方法列表，它可能暴露敏感信息，比如可查询服务器支持哪些非安全的方法，便于恶意用户进行下一步攻击。解决方案：1 禁用 OPTIONS 方法 TRACE 方法未禁用 低 漏洞描述：存在跨域漏洞的情况下，支持 HTTP TRACE 方法的域存在泄露 HTTP 头部信息风险，攻击者可能通过该漏洞窃取cookies 和其他认证信息。解决方案：1 通过修改 Web 服务器配置文件禁用 TRACE 方法 Debug 功能未禁用 低 漏洞描述：默认情况 debug 功能是关闭的，但是有时需要开启 de

29、bug 功能进行排错，而排错完成之后，可能会存了忘记关闭。被攻击者利用可能泄露应用服务器的敏感信息。解决方案：1 不需要 debug 功能时，应该将其关闭 Struts 2 开发模式未关闭 中 漏洞描述：默认情况 debug 功能是关闭的，但是有时需要开启 debug 功能进行排错，而排错完成之后，可能会存了忘记关闭。被攻击者利用可能泄露应用服务器的敏感信息。解决方案：1 关闭 Struts 2 开发模式，在 WEB-INF/classes/struts.properties 文件修改如下：struts.devMode=false 源代码泄露 高 漏洞描述：源代码中可能包含有敏感信息，并且源代

30、码可以有效的帮助攻击者理解网站应用逻辑，为展开其他类型的攻击提供有利信息，降低攻击的难度。漏洞地址：解决方案：1 设置代码访问权限 2 修改存放位置 任意文件上传漏洞 高 漏洞描述：文件上传文件主要是用来向服务器上传图片文件或其它格式文件的上传接口，如果上传文件过滤不严就可能导致黑客通过其它手段来达到向服务器上传后门的目的。漏洞地址：解决方案：1设置白名单，指定允许上传文件的文件格式 2限制上传目录的权限（只开启读写权限，关闭执行权限）3对于重要的业务系统，对于上传的文件和图片等增加人工审核功能，审核通过后用户才可以访问。漏洞描述：漏洞地址：解决方案：远程管理端口未过滤 中 漏洞描述：端口号

31、22、3389、4899、5631、5901 等是默认的远程管理通信端口。连接上相应端口，输入管理员账号密码之后，即可对服务器进行远程管理。远程管理端口如果对非管理员开放，恶意用户可通过猜解密码或者远程溢出等漏洞，从而对服务器进行远程控制。未过滤端口：解决方案：1 限制可访问远程管理端口的 IP 范围，建议只允许内网管理网网段访问；如需从互联网访问，采用通过 VPN 再访问。2 把默认的远程管理端口修改为其他端口 3 配置账号管理策略，如：密码输入错误 3 次后锁定账号 4 及时升级操作系统补丁（升级前做好相应备份）数据库端口未过滤 中 漏洞描述：端口号 1433、1521、3306 等是默认

32、的数据库通信端口。连接上相应端口，输入管理员账号密码之后，即可远程访问数据库中的数据。数据库端口如果对非管理员开放，恶意用户可通过猜解密码或者远程溢出等漏洞，从而访问数据库敏感数据，甚至控制数据库所在服务器。未过滤端口：解决方案：1 限制可访问数据库端口的 IP 范围，一般情况只允许应用服务器访问即可。2 把默认的数据库通信端口修改为其他端口 3 配置账号管理策略，如：密码输入错误 3 次后锁定账号 4 及时升级数据库系统补丁（升级前做好相应备份）FTP 可匿名访问 高 漏洞描述：FTP 是 TCP/IP 网络上两台计算机传送文件的协议，运行 FTP 服务的站点如果开放匿名服务，用户不需要帐号

33、就可以登录服务器，默认情况下，匿名用户的用户名是：“anonymous”。这个帐号不需要密码即可访问 FTP 服务器上的文件，存在泄露敏感文件的风险。端口：21 解决方案：1 FTP 服务器如有敏感信息，应该关闭匿名访问功能 2 及时升级 FTP 相关补丁（升级前做好相应备份）3 如该 FTP 服务非必要功能，建议关闭 FTP 服务 会话 cookie 未设置 Secure 标志 低 漏洞描述：如果会话 cookie 设置了 Secure 标志，那么浏览器将会只允许服务器通过安全 SSL 隧道访问 cookie，从而降低会话 cookie 被窃取的风险。Cookie 域：Cookie 名：解决方案：1 给会话 cookie 设置 Secure 标志 Apache server-info 信息泄露 中 漏洞描述：Apache/server-info 文件显示了 Apache 的配置信息，为攻