常见安全漏洞的处理及解决方法.doc

相关名词解释、危害与整改建议 1、 网站暗链 名词解释 “暗链”就是看不见的网站链接，“暗链"在网站中的链接做的非常隐蔽,短时间内不易被搜索引擎察觉。它和友情链接有相似之处，可以有效地提高PR值。但要注意一点PR值是对单独页面,而不是整个网站. 危害: 网站被恶意攻击者插入大量暗链,将会被搜索引擎惩罚,降低权重值；被插入大量恶意链接将会对网站访问者造成不良影响;将会协助恶意网站(可能为钓鱼网站、反动网站、赌博网站等）提高搜索引擎网站排名。可被插入暗链的网页也意味着能被篡改页面内容。 整改建议： 加强网站程序安全检测，及时修补网站漏洞; 对网站代码进行一次全面检测，查看是否有其余恶意程序存在； 建议重新安装服务器及程序源码，防止无法到检测深度隐藏的恶意程序，导致重新安装系统后攻击者仍可利用后门进入. 2、网页挂马 名词解释 网页挂马是通过在网页中嵌入恶意程序或链接,致使用户计算机在访问该页面时触发执行恶意脚本，从而在不知情的情况下跳转至“放马站点”（指存放恶意程序的网络地址，可以为域名,也可以直接使用IP地址），下载并执行恶意程序。 危害: 利用IE浏览器漏洞，让IE在后台自动下载黑客放置在网站上的木马并运行（安装)这个木马，即这个网页能下载木马到本地并运行（安装)下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始，从而实现控制访问者电脑或安装恶意软件的目的。 整改建议： 加强网站程序安全检测,及时修补网站漏洞； 对网站代码进行一次全面检测，查看是否有其余恶意程序存在; 建议重新安装服务器及程序源码，防止有深度隐藏的恶意程序无法检测到，导致重新安装系统后攻击者仍可利用后门进入. 3、SQL注入 名词解释 SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。 危害： 可能会查看、修改或删除数据库条目和表。严重的注入漏洞还可能以当然数据库用户身份远程执行操作系统命令. 整改建议： 补救方法在于对用户输入进行清理。通过验证用户输入,保证其中未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令,等等. 4、跨站点脚本 名词解释 跨站点脚本编制攻击是一种隐私违例，可让攻击者获取合法用户的凭证，并在与特定 Web 站点交互时假冒这位用户。 危害： 可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务. 整改建议： 应对跨站点脚本编制的主要方法有两点： 不要信任用户的任何输入,尽量采用白名单技术来验证输入参数; 输出的时候对用户提供的内容进行转义处理。 5、弱口令 名词解释 弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等,因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。 危害: 在当今很多地方以用户名（帐号)和口令作为鉴权的世界，口令的重要性就可想而知了。 口令就相当于进入家门的钥匙，当他人有一把可以进入你家的钥匙，想想你的安全、你的财物、你的隐私。 因为弱口令很容易被他人猜到或破解,所以如果你使用弱口令，就像把家门钥匙放在家门口的垫子下面，是非常危险的. 整改建议: 针对后台或者网络管理员的弱口令比较好解决，强制对所有的管理系统账号密码强度必须达到一定的级别。（如使用数字+字母+特殊字符和大小写）。 6、任意文件下载 名词解释 利用路径回溯符“。。/"跳出程序本身的限制目录实现下载任意文件。 危害： 可以实现下载服务任何文件. 整改建议： 在下载前对传入的参数进行过滤，直接将.。替换成空，对待下载文件类型 进行检查，判断是否允许下载类型。 7、目录遍历漏洞 名词解释 通过目录便利攻击可以获取系统文件及服务器的配置文件等等。 危害: 可能会查看 Web 服务器（在 Web 服务器用户的许可权限制下）上的任何文件(例如,数据库、用户信息或配置文件）的内容. 整改建议： 防范目录遍历攻击漏洞，最有效的办法就是权限控制,谨慎处理传向文件系统API的参数。最好的防范方法就是组合使用下面两条: 1、净化数据：对用户传过来的文件名参数进行硬编码或统一编码，对文件类型进行白名单控制,对包含恶意字符或者空字符的参数进行拒绝. 2、web应用程序可以使用chrooted环境包含被访问的web目录，或者使用绝对路径+参数来访问文件目录，时使其即使越权也在访问目录之内.www目录就是一个chroot应用。 8、phpinfo信息泄露 名词解释 通过Phpinfo文件泄露网站环境的详细信息。 危害： phpinfo（）函数返回的信息中包含了服务器的配置信息，包括:1）PHP编译选项以及文件扩展名的相关信息;2）php的版本信息 3）php的配置信息；4）数据库信息;等敏感信息.这些敏感信息会帮助攻击者展开进一步的攻击. 整改建议: 限制此类脚本的访问权限或者删除对phpinfo()函数的调用。 9、数据库下载 名词解释 直接通过浏览网页或输入url，下载网站的数据库. 危害： 通过下载数据库查看网站的关键信息、人员的敏感信息。 整改建议： 修改数据库文件名，数据库名前+“＃”。