常見安全漏洞的處理及解決方法參考模板

1、相關(guān)名詞解釋、危害與整改建議1、 網(wǎng)站暗鏈名詞解釋“暗鏈”就是看不見的網(wǎng)站鏈接，“暗鏈”在網(wǎng)站中的鏈接做的非常隱蔽，短時間內(nèi)不易被搜索引擎察覺。它和友情鏈接有相似之處，可以有效地提高PR值。但要注意一點PR值是對單獨頁面，而不是整個網(wǎng)站。危害：網(wǎng)站被惡意攻擊者插入大量暗鏈，將會被搜索引擎懲罰，降低權(quán)重值；被插入大量惡意鏈接將會對網(wǎng)站訪問者造成不良影響；將會協(xié)助惡意網(wǎng)站（可能為釣魚網(wǎng)站、反動網(wǎng)站、賭博網(wǎng)站等）提高搜索引擎網(wǎng)站排名。可被插入暗鏈的網(wǎng)頁也意味著能被篡改頁面內(nèi)容。整改建議：加強網(wǎng)站程序安全檢測，及時修補網(wǎng)站漏洞；對網(wǎng)站代碼進(jìn)行一次全面檢測，查看是否有其余惡意程序存在；建議重新安裝服務(wù)器

2、及程序源碼，防止無法到檢測深度隱藏的惡意程序，導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進(jìn)入。2、網(wǎng)頁掛馬名詞解釋網(wǎng)頁掛馬是通過在網(wǎng)頁中嵌入惡意程序或鏈接，致使用戶計算機(jī)在訪問該頁面時觸發(fā)執(zhí)行惡意腳本，從而在不知情的情況下跳轉(zhuǎn)至“放馬站點”（指存放惡意程序的網(wǎng)絡(luò)地址，可以為域名，也可以直接使用IP地址），下載并執(zhí)行惡意程序。危害：利用IE瀏覽器漏洞，讓IE在后臺自動下載黑客放置在網(wǎng)站上的木馬并運行（安裝）這個木馬，即這個網(wǎng)頁能下載木馬到本地并運行（安裝）下載到本地電腦上的木馬，整個過程都在后臺運行，用戶一旦打開這個網(wǎng)頁，下載過程和運行（安裝）過程就自動開始，從而實現(xiàn)控制訪問者電腦或安裝惡意軟件的目的

3、。整改建議：加強網(wǎng)站程序安全檢測，及時修補網(wǎng)站漏洞；對網(wǎng)站代碼進(jìn)行一次全面檢測，查看是否有其余惡意程序存在；建議重新安裝服務(wù)器及程序源碼，防止有深度隱藏的惡意程序無法檢測到，導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進(jìn)入。1 / 53、SQL注入名詞解釋SQL注入就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。危害：可能會查看、修改或刪除數(shù)據(jù)庫條目和表。嚴(yán)重的注入漏洞還可能以當(dāng)然數(shù)據(jù)庫用戶身份遠(yuǎn)程執(zhí)行操作系統(tǒng)命令。整改建議：補救方法在于對用戶輸入進(jìn)行清理。通過驗證用戶輸入，保證其中未包含危險字符，便可能防止惡意的用戶導(dǎo)致應(yīng)用程序執(zhí)行計

4、劃外的任務(wù)，例如：啟動任意SQL 查詢、嵌入將在客戶端執(zhí)行的Javascript代碼、運行各種操作系統(tǒng)命令，等等。4、跨站點腳本名詞解釋跨站點腳本編制攻擊是一種隱私違例，可讓攻擊者獲取合法用戶的憑證，并在與特定 Web 站點交互時假冒這位用戶。危害：可能會竊取或操縱客戶會話和cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)。整改建議：應(yīng)對跨站點腳本編制的主要方法有兩點：不要信任用戶的任何輸入，盡量采用白名單技術(shù)來驗證輸入?yún)?shù)；輸出的時候?qū)τ脩籼峁┑膬?nèi)容進(jìn)行轉(zhuǎn)義處理。5、弱口令名詞解釋弱口令指的是僅包含簡單數(shù)字和字母的口令，例如“123”、“abc

5、”等，因為這樣的口令很容易被別人破解，從而使用戶的計算機(jī)面臨風(fēng)險，因此不推薦用戶使用。危害：在當(dāng)今很多地方以用戶名(帳號)和口令作為鑒權(quán)的世界，口令的重要性就可想而知了?？诹罹拖喈?dāng)于進(jìn)入家門的鑰匙，當(dāng)他人有一把可以進(jìn)入你家的鑰匙，想想你的安全、你的財物、你的隱私。因為弱口令很容易被他人猜到或破解，所以如果你使用弱口令，就像把家門鑰匙放在家門口的墊子下面，是非常危險的。整改建議：針對后臺或者網(wǎng)絡(luò)管理員的弱口令比較好解決，強制對所有的管理系統(tǒng)賬號密碼強度必須達(dá)到一定的級別。（如使用數(shù)字+字母+特殊字符和大小寫）。6、任意文件下載名詞解釋利用路徑回溯符“./”跳出程序本身的限制目錄實現(xiàn)下載任意文件。

6、危害：可以實現(xiàn)下載服務(wù)任何文件。整改建議：在下載前對傳入的參數(shù)進(jìn)行過濾，直接將.替換成空，對待下載文件類型 進(jìn)行檢查，判斷是否允許下載類型。7、目錄遍歷漏洞名詞解釋通過目錄便利攻擊可以獲取系統(tǒng)文件及服務(wù)器的配置文件等等。危害：可能會查看 Web 服務(wù)器（在 Web 服務(wù)器用戶的許可權(quán)限制下）上的任何文件（例如，數(shù)據(jù)庫、用戶信息或配置文件）的內(nèi)容。整改建議：防范目錄遍歷攻擊漏洞，最有效的辦法就是權(quán)限控制，謹(jǐn)慎處理傳向文件系統(tǒng)API的參數(shù)。最好的防范方法就是組合使用下面兩條：1、凈化數(shù)據(jù)：對用戶傳過來的文件名參數(shù)進(jìn)行硬編碼或統(tǒng)一編碼，對文件類型進(jìn)行白名單控制，對包含惡意字符或者空字符的參數(shù)進(jìn)行拒絕。2、web應(yīng)用程序可以使用chrooted環(huán)境包含被訪問的web目錄，或者使用絕對路徑+參數(shù)來訪問文件目錄，時使其即使越權(quán)也在訪問目錄之內(nèi)。www目錄就是一個chroot應(yīng)用。8、phpinfo信息泄露名詞解釋通過Phpinfo文件泄露網(wǎng)站環(huán)境的詳細(xì)信息。危害：phpinfo()函數(shù)返回的信息中包含了服務(wù)器的配置信息，包括：1）PHP編譯選項以及文件擴(kuò)展名的相關(guān)信息；2）php的版本信息 3）php的配置信息；4）數(shù)據(jù)庫信息；等敏感信息。這些敏感信息會幫助攻擊者展開進(jìn)一步的攻擊。整改建議：限制此類腳本的訪問權(quán)