1. 首页>
  2. 腾讯云代理

[官方教程] 漏洞修复指引

腾讯云 2017年05月11日 浏览585

腾讯云代理 腾讯云直播申请 游戏上云

摘要:

1. 网站漏洞说明

网站漏洞主要指由于客户未对用户输入数据进行必要的合法性校验及安全过滤,导致了攻击者可以利用漏洞来盗取用户信息,入侵并控制网站服务器等。


2. 云安全漏洞扫描服务介绍

1)全方位漏洞检测
采用分布式扫描系统,支持检测SQL注入,XSS等各种常见的网页漏洞及第三方应用漏洞,发现能力强,误报率低。
2)实时反馈
当发现存在网站漏洞时,会通过站内信件或者手机短信及时通知到您。
3)专业漏洞修复指引
通过简洁专业的修复指引,三分钟轻松修复网站漏洞。


3. 漏洞修复指引

漏洞类型
风险等级
漏洞危害
修复方案
SQL注入
高风险
恶意用户可以利用该漏洞执行任意SQL语句,可以造成如下危害:未经过授权操作数据库中的数据恶意篡改数据库内容添加系统帐号或数据库帐号,进行提权,进而导致网站服务器被入侵,数据库数据被盗取等
在服务器端对用户提交的所有表单、参数进行合法性判断和非法字符过滤。例如:使用正则表达式限制输入的数据长度和类型;过滤非法字符,例如:单引号、双引号、空格、等号等
远程任意命令执行
高风险
执行任意系统命令,例如systerm(),eval(),exec()等命令,可以导致网站服务器被入侵,服务器数据被偷取等
校验程序的参数输入,通过白名单的方式允许用户输入字符和命令
struts远程命令执行
高风险
struts.xml配置中使用${}形式来配置action的redirect地址,例如:<result type="redirect">/test.jsp?var=${userInput}</result>,可能触发命令执行漏洞,进而导致网站服务器被入侵,服务器数据被盗取等
修改struts.xml配置,设置${}中的参数需要编码。如:<result><param name="location">/test.jsp?test=${userName} </param><param name="encode">true</param></result>
Struts低版本
高风险
struts 2.3.15.2以下版本存在任意代码执行漏洞,可导致网站服务器被入侵,服务器数据被盗取等
请将struts、xwork库文件升级到最新版,并删除旧库。官网下载http://struts.apache.org/
php代码执行
高风险
执行任意php代码,可导致网站服务器被入侵,服务器数据被盗取等
禁止危险函数 php.ini disable_functions = "eval,phpinfo" 或者对用户输入做过滤
thinkphp代码执行
高风险
可执行任意命令,导致网站服务器被入侵,服务器数据被盗取等
谨慎使用thinkphp,对于线上的Thinkphp要升级到安全版本,相关信息链接如下:http://www.thinkphp.cn/down.html
任意文件读取
高风险
泄漏服务器上的任意文件内容,暴露web服务器的文件系统结构和内容,可导致网站服务器被入侵,服务器数据被盗取等
对参数进行校验通过白名单的方式验证用户输入 ,同时检验路径是否在规定的路径之下,禁止跳出范围访问
nginx任意文件解析
高风险
nginx解析漏洞,危害服务器安全,导致服务器被入侵,服务器数据被盗取等
php配置文件php.ini中配置cgi.fix_pathinfo=0
管理后台对外
高风险
后台入口泄漏,可导致网站服务器被入侵,服务器数据被盗取等
1:使用iptables限制访问权限,禁止不合法的内外网访问; 2:不允许上传文件; 3:记录并保存webserver的访问日志文件; 4:禁止使用脚本或程序管理系统文件
文件包含
高风险
程序服务器上的文件可任意读取,包含可运行木马,或其他用户上传的文件,造成服务器敏感信息泄漏
采用白名单的方式校验用户输入
对外开放高危端口(服务)
高风险
高危端口对外开发,可导致服务器被入侵,服务数据被盗取等
请关闭对外开放的端口
目录遍历
中风险
导致服务器文件泄漏
Web服务器配置中去掉非业务必要的目录浏览项
普通xss
中风险
黑客可以利用该漏洞执行任意HTML/JS代码,可导致如下危害:窃取用户cookie信息,传播蠕虫等
将特殊字符',",>,<展示时转义为html实体
utf7-xss
中风险
黑客可以利用该漏洞执行任意HTML/JS代码,可导致如下危害:窃取用户cookie信息,传播蠕虫等
CGI中指定Content-Type的属性为JSON
CSRF
中风险
用户敏感信息泄露
请求中添加Token或进行referrer验证
任意跳转
中风险
页面中引入非公司的URL,导致恶意钓鱼出现
控制页面转向的地方对传入的URL进行校验
CRLF头部注入
中风险
黑客可以利用该漏洞来注入HTTP响应头,攻击者可以构建任意 HTTP 响应,从而发起多种形式的攻击,包括:cross-user defacement、网络和浏览器 cache poisoning、cross-site scripting和 page hijacking
设置HTTP响应头的代码中,过滤回车换行字符
配置不当
中风险
php错误信息回显,导致敏感信息外泄
修改php.ini配置,禁止显示错误信息和调试信息
crossdomain配置不当
中风险
配置不当,可能引入CSRF攻击
clientaccesspolicy.xml中更改allow-access-form的domain属性为域名白名单,例如:*.qq.com
源代码泄漏
中风险
源代码任意下载,可导致服务器文件泄漏,危害到服务器安全
请删除
测试文件未删除
中风险
测试或其他敏感文件对外,导致敏感信息泄漏
请删除
IIS短文件泄漏
中风险
因为IIS版本低问题,导致使用get方式可以获取web目录下的所有文件
升级并使用.Net Framework 4



腾讯云服务商邀请关注:

http://partners.qcloud.com/invitation/99377079157835da208bd0

关注服务商的链接,提供下您关注的QQ,我们这边审核下即可快速回复您的工单问题与技术支持! 感谢您的信任与支持!

auto_1452.png

腾讯云技术交流群


ps:本站信息来源于 bbs.qcloud.com

相关文章

在线客服
淘宝购买
腾讯云直播申请 title=
+成为腾讯云VIP客户 腾讯云直播申请 客服电话

15818558013

0755-33940501-803

0755-33940501-808