WEB應(yīng)用漏洞及修復匯總

1、WEB應(yīng)用漏洞及修復匯總1.SQL注入風險等級：高危漏洞描述：SQL注入漏洞產(chǎn)生的原因是網(wǎng)站應(yīng)用程序在編寫時未對用戶提交至服 務(wù)器的數(shù)據(jù)進行合法性校驗，即沒有進行有效地特殊字符過濾，導致網(wǎng)站 服務(wù)器存在安全風險，這就是SQL Injection ,即SQL注入漏洞。漏洞危害：機密數(shù)據(jù)被竊??；核心業(yè)務(wù)數(shù)據(jù)被篡改；網(wǎng)頁被篡改；數(shù)據(jù)庫所在服務(wù)器被攻擊從而變?yōu)榭苤鳈C，導致局域網(wǎng)（內(nèi)網(wǎng)）被入侵。修復建議：在網(wǎng)頁代碼中對用戶輸入的數(shù)據(jù)進行嚴格過濾；（代碼層）部署Web應(yīng)用防火墻；（設(shè)備層）對數(shù)據(jù)庫操作進行監(jiān)控。（數(shù)據(jù)庫層）代碼層最佳防御sql漏洞方案：采用sql語句預(yù)編譯和綁定變量，是防御sql注入的最

2、佳方法。原因：采用了 PreparedStatement ,就會將 sql 語句：select id, no from user where id=? 預(yù)先編譯好，也就是SQL引擎會預(yù)先進行語法分析，產(chǎn)生語法樹，生成執(zhí)行計劃，也就是說，后面你輸入的參數(shù)，無論你輸入的是什么，都不會影響該sql語句的 語法結(jié)構(gòu)了，因為語法分析已經(jīng)完成了，而語法分析主要是分析sql命令，比如 select ,from ,where ,and, or ,order by 等等。所以即使你后面輸入了這 些sql命令，也不會被當成sql命令來執(zhí)行了，因為這些 sql命令的執(zhí)行，必須先的通過語法分析，生成執(zhí)行計劃，既然語法

3、分析已經(jīng)完成，已經(jīng)預(yù)編譯過了， 那么后面輸入的參數(shù)，是絕對不可能作為sql命令來執(zhí)行的，只會被當做字符串字面值參數(shù)，所以sql語句預(yù)編譯可以防御sql注入。其他防御方式：正則過濾.目錄遍歷風險等級：中危漏洞描述：通過該漏洞可以獲取系統(tǒng)文件及服務(wù)器的配置文件。利用服務(wù)器API、文件標準權(quán)限進行攻擊。漏洞危害：黑客可獲得服務(wù)器上的文件目錄結(jié)構(gòu)，從而下載敏感文件。修復建議：.通過修改配置文件，去除中間件（如 IIS、apache、tomcat）的文件目錄索 引功能.設(shè)置目錄權(quán)限.在每個目錄下創(chuàng)建一個空的index.html頁面。.跨站腳本即XSS漏洞，利用跨站腳本漏洞可以在網(wǎng)站中插入任意代碼，它能夠

4、獲取 網(wǎng)站管理員或普通用戶的cookie ,隱蔽運行網(wǎng)頁木馬，甚至格式化瀏覽者的硬盤。漏洞危害：網(wǎng)絡(luò)釣魚，盜取管理員或用戶帳號和隱私信息等；劫持合法用戶會話，利用管理員身份進行惡意操作，篡改頁面內(nèi)容、進一步滲透網(wǎng)站；網(wǎng)頁掛馬、傳播跨站腳本蠕蟲等；控制受害者機器向其他系統(tǒng)發(fā)起攻擊。修復建議：設(shè)置 httponlyhttponly無法完全的防御xss漏洞，它只是規(guī)定了不能使用js去獲取cookie的內(nèi)容，因此它只能防御利用xss進行cookie劫持的問題。Httponly 是在set-cookie時標記的，可對單獨某個參數(shù)標記也可對全部參數(shù)標記。由于設(shè)置 httponly的方法比較簡單，使用也很靈

5、活，并且對防御cookie劫持非常有用，因此已經(jīng)漸漸成為一種默認的標準。xss filterXss filter往往是一個文本文件，里面包含了允許被用戶輸入提交的字符（也有些是包含不允許用戶提交的字符）。它檢測的點在于用戶輸入的時候，xss filter分為白名單與黑名單，推薦使用白名單，但即使使用白名單還是無法完全杜絕 xss問題，并且使用不當可能會帶來很高的誤報率。編碼轉(zhuǎn)義編碼方式有很多，比如html編碼、url編碼、16進制編碼、javascript編碼等。在處理用戶輸入時，除了用xss filter的方式過濾一些敏感字符外，還需要配合編碼，將一些敏感字符通過編碼的方式改變原來的樣子，從

6、而不能被瀏覽器當 成js代碼執(zhí)行。處理富文本有些網(wǎng)頁編輯器允許用戶提交一些自定義的html代碼，稱之為“富文本想要在富文本處防御xss漏洞，最簡單有效的方式就是控制用戶能使用的標簽，限制為只能使用 a、div等安全的標簽。處理所有輸出類型的xss漏洞xss漏洞本質(zhì)上是一種html注入，也就是將html代碼注入到網(wǎng)頁中。那么其防御的根本就是在將用戶提交的代碼顯示到頁面上時做好一系列的過濾與轉(zhuǎn) 義。其他修復方案.開發(fā)者應(yīng)該嚴格按照openid和openkey的校驗規(guī)則判斷openid和openkey是否合法，且判斷其它參數(shù)的合法性，不合法不返回任何內(nèi)容。.嚴格限制URL參數(shù)輸入值的格式，不能包含不

7、必要的特殊字符 （%0d、0a、0D、0A 等）。.未過濾的HTML代碼漏洞由于頁面未過濾HTML代碼，攻擊者可通過精心構(gòu)造XSS代碼（或繞過防火墻防護策略），實現(xiàn)跨站腳本攻擊等?？蓭砣缦挛：Γ簮阂庥脩艨梢允褂?JavaScript、VBScript、ActiveX、HTML 語言甚至 Flash 利用應(yīng)用的漏洞，從而獲取其他用戶信息；攻擊者能盜取會話 cookie、獲取賬戶、模擬其他用戶身份，甚至可以修改網(wǎng) 頁呈現(xiàn)給其他用戶的內(nèi)容。修復建議：嚴格過濾用戶輸入的數(shù)據(jù)參考跨站腳本漏洞修復方案。.數(shù)據(jù)庫運行出錯網(wǎng)站存在數(shù)據(jù)庫運行出錯，由于網(wǎng)頁數(shù)據(jù)交換出錯，攻擊者可獲取報錯中的敏感信息?？蓭砣缦?/p>

8、危害：機密數(shù)據(jù)被竊??；攻擊者通過構(gòu)造特殊URL地址，觸發(fā)系統(tǒng)web應(yīng)用程序報錯，在回顯內(nèi)容中，獲取網(wǎng)站敏感信息；攻擊者利用泄漏的敏感信息，獲取網(wǎng)站服務(wù)器web路徑，為進一步攻擊提供幫助。修復建議：檢查數(shù)據(jù)庫緩存是否溢出，是否具有失效的配置管理、禁用一切不必要的功能；對網(wǎng)站錯誤信息進行統(tǒng)一返回，模糊化處理。.Flash安全配置缺陷漏洞網(wǎng)站存在Flash安全配置缺陷，該漏洞可導致跨域訪問，讓用戶訪問非法Flash文件。allowScriptAccess :是否允許flash訪問瀏覽器腳本。如果不對不信任的flash限制，默認會允許調(diào)用瀏覽器腳本，產(chǎn)生 XSS漏洞。always （默認值），總是允許

9、；sameDomain ,同域允許；never,不允許allowNetworking :是否允許 flash訪問 ActionScript 中的網(wǎng)絡(luò) API。如果不對 不信任的flash限制，會帶來 flash彈窗、CSRF等問題。all ,允許所有功能，會帶來 flash彈窗危害；internal ,可以向外發(fā)送請求/加載網(wǎng)頁；none,無法進行任何網(wǎng)絡(luò)相關(guān)動作（業(yè)務(wù)正常功能可能無法使用）+可帶來如下危害：網(wǎng)站的Flash配置文件 crossdomain.xml配置不當，存在 Flash跨域攻擊安全 隱患。修復建議：修改flash安全策略，做嚴格限制，比如限制到網(wǎng)站當前域；找至U相應(yīng) 目錄下

10、 的 crossdomain.xml 文件，找至U代碼 ：cross-domain-policy allow-access-fromdomain=* cross-domain-policy 改成： cross-domain-policyallow-access-from domain=改成你 的網(wǎng)站地址cross-domain-policy.FCK編輯器泄漏漏洞漏洞描述利用此漏洞攻擊者可訪問編輯器頁面，上傳圖片。漏洞危害：由于網(wǎng)站編輯器沒有對管理員登錄進行校驗，導致任意用戶訪問編輯器； 利用編輯器漏洞查看網(wǎng)站全硬盤目錄。修復建議：對編輯器頁面進行訪問控制，禁止未授權(quán)訪問，并升級fck編輯器版本

11、。.FCKeditor任意文件上傳漏洞FCKeditor版本低于或等于 2.4.3時網(wǎng)站存在任意文件上傳漏洞，可以利用該漏洞上傳任意文件?？蓭砣缦挛：Γ河捎谀繕司W(wǎng)站未做上傳格式的限制，導致網(wǎng)站、 數(shù)據(jù)庫和服務(wù)器有被入侵的風險；可能導致網(wǎng)站被攻擊者控制，網(wǎng)站數(shù)據(jù)被竊取、網(wǎng)頁被篡改等。修復建議：設(shè)置FCKeditor編輯器相關(guān)頁面在未授權(quán)的前提下無法正常訪問，和限制FCK上傳文件的格式；下載并更新至 FCKeditor的最新版本。.URL Redirect 漏洞即URL重定向漏洞，通過將 URL修改為指向惡意站點，攻擊者可以成功 發(fā)起網(wǎng)絡(luò)釣魚詐騙并竊取用戶憑證?？蓭砣缦挛：Γ篧eb應(yīng)用程序執(zhí)行

12、指向外部站點的重定向；攻擊者可能會使用Web服務(wù)器攻擊其他站點，這將增加匿名性。修復建議：在網(wǎng)頁代碼中需要對用戶輸入的數(shù)據(jù)進行嚴格過濾；（代碼層）部署 Web應(yīng)用防火墻。（設(shè)備層）.文件上傳漏洞網(wǎng)站存在任意文件上傳漏洞，文件上傳功能沒有進行格式限制，容易被黑客利用上傳惡意腳本文件?？蓭砣缦挛：Γ汗粽呖赏ㄟ^此漏洞上傳惡意腳本文件，對服務(wù)器的正常運行造成安全威 脅；攻擊者可上傳可執(zhí)行的WebShell （如php、jsp、asp類型的木馬病毒），或者利用目錄跳轉(zhuǎn)上傳gif、html、config文件，覆蓋原有的系統(tǒng)文件，到達獲取系統(tǒng)權(quán)限的目的。修復建議：對上傳文件格式進行嚴格校驗及安全掃描，防

13、止上傳惡意腳本文件；設(shè)置權(quán)限限制，禁止上傳目錄的執(zhí)行權(quán)限；嚴格限制可上傳的文件類型；嚴格限制上傳的文件路徑。文件擴展名服務(wù)端白名單校驗。文件內(nèi)容服務(wù)端校驗。上傳文件重命名。隱藏上傳文件路徑。.后臺弱口令漏洞網(wǎng)站管理后臺用戶名密碼較為簡單或為默認，易被黑客利用。可帶來如下危害：攻擊者利用弱口令登錄網(wǎng)站管理后臺，可任意增刪文章等造成負面影響；攻擊者可進一步查看網(wǎng)站信息，獲取服務(wù)器權(quán)限，導致局域網(wǎng)（內(nèi)網(wǎng)）被入侵,修復建議：對管理后臺進行訪問控制，修改后臺弱口令，加強口令強度并定期修改。增加驗證機制，防爆破機制，限制ip + cookie訪問次數(shù)。.敏感信息泄露由于網(wǎng)站運維人員疏忽，存放敏感信息的文件

14、被泄露或由于網(wǎng)站運行出錯導致敏感信息泄露?？蓭砣缦挛：Γ汗粽呖芍苯酉螺d用戶的相關(guān)信息，包括網(wǎng)站的絕對路徑、用戶的登錄名、密碼、真實姓名、身份證號、電話號碼、郵箱、攻擊者通過構(gòu)造特殊URL地址，觸發(fā)系統(tǒng)中，獲取網(wǎng)站敏感信息；攻擊者利用泄漏的敏感信息，獲取網(wǎng)站服務(wù)器 供幫助。QQ號等；web應(yīng)用程序報錯，在回顯內(nèi)容web路徑，為進一步攻擊提修復建議：對網(wǎng)站錯誤信息進行統(tǒng)一返回，模糊化處理；對存放敏感信息的文件進行加密并妥善儲存，避免泄漏敏感信息。.未加密登錄請求漏洞網(wǎng)站對用戶登錄認證信息未進行加密, 傳輸過程中被獲取。敏感信息以明文形式進行傳送,易在可帶來如下危害：易造成用戶敏感信息泄露與篡改

15、。修復建議：建議通過加密連接（如SSL）方式進行敏感信息的傳送。.后臺口令暴力破解由于網(wǎng)站管理后臺系統(tǒng)登錄無驗證碼校驗, 解?？蓪е潞笈_用戶名密碼被暴力破可帶來如下危害：攻擊者可利用該漏洞無限次提交用戶名密碼, 及密碼；暴力破解后登錄其中一個帳號可進管理后臺, 文章等造成負面影響；攻擊者可進一步登陸后臺查看網(wǎng)站信息、 限，導致局域網(wǎng)（內(nèi)網(wǎng)）被入侵。從而可以暴力破解后臺用戶名攻擊者登錄網(wǎng)站后臺任意增刪上傳惡意腳本文件，獲取服務(wù)器權(quán)修復建議：對該頁面進行訪問控制，禁止外網(wǎng) 碼校驗，加強帳號鎖定機制。ip或非法ip訪問后臺頁面，并增加驗證增加ip + cookie配置方式限制訪問頻率。.跨站請求偽造

16、跨站請求偽造，即CSRF,攻擊者通過偽造來自受信任用戶的請求，達到增加、刪除、篡改網(wǎng)站內(nèi)容的目的?？蓭淼奈：Γ汗粽呙俺溆脩?/管理員，偽造請求，進行篡改、轉(zhuǎn)帳、改密碼、發(fā)郵件等 非法操作。修復建議：過濾用戶輸入，不允許發(fā)布含有站內(nèi)操作URL的鏈接；改良站內(nèi) API的設(shè)計，關(guān)鍵操作使用驗證碼，只接受 POST請求，GET請求應(yīng)該只瀏覽而不改變服務(wù)器端資源；對于web站點，將持久化的授權(quán)方法（例如 cookie或者HTTP授權(quán)）切換 為瞬時的授權(quán)方法（在每個form中提供隱藏field ）;在瀏覽其它站點前登出站點或者在瀏覽器會話結(jié)束后清理瀏覽器的cookie，.Unicode編碼轉(zhuǎn)換漏洞漏洞

17、等級：中危該漏洞由于 Unicode在編碼轉(zhuǎn)換過程中會忽略某些字符，導致攻擊者可插入該字符繞過安全設(shè)備的檢測?？蓭砣缦挛：Γ汉诳涂赏ㄟ^插入特殊字符，可拆分攻擊的關(guān)鍵詞，繞過安全設(shè)備的檢測。修復建議：修改中間件，過濾特殊字符。部署Web應(yīng)用防火墻.發(fā)生內(nèi)部錯誤漏洞描述：500 Internal Server Error 。漏洞危害：攻擊者向服務(wù)器提交精心構(gòu)造的惡意數(shù)據(jù)后，有可能導致服務(wù)器出現(xiàn)內(nèi)部錯誤、服務(wù)器宕機或數(shù)據(jù)庫錯亂。修復建議：.嚴格過濾用戶輸入的數(shù)據(jù)。.服務(wù)器錯誤統(tǒng)一模糊處理，或者跳轉(zhuǎn)到首頁/404頁面。18.SVN源代碼泄漏由于目標網(wǎng)站沒有及時清除 SVN服務(wù)器連接時的殘留信息，導致

18、存在此漏 洞?？蓭砣缦挛：Γ汗粽呖衫迷撀┒聪螺d網(wǎng)站的源代碼，獲得數(shù)據(jù)庫的連接密碼等敏感信 息；攻擊者可通過源代碼分析出新的系統(tǒng)漏洞，從而進一步入侵系統(tǒng)。修復建議：刪除指定 SVN生成的各種文件，如“/.svn/entries等.旁站攻擊漏洞多家網(wǎng)站在同一臺服務(wù)器上，因一個網(wǎng)站存在致命高危漏洞，導致整臺服務(wù)器被入侵?？蓭砣缦挛：Γ悍?wù)器上的所有網(wǎng)站均可被獲得控制權(quán)限，攻擊者可利用該漏洞登錄網(wǎng)站后臺任意增刪文章等造成負面影響；攻擊者可通過旁站服務(wù)器漏洞進入網(wǎng)站內(nèi)網(wǎng)對其他服務(wù)器進行進一步攻擊。修復建議：修補同一臺服務(wù)器上的其他網(wǎng)站漏洞；建議每個網(wǎng)站單獨服務(wù)器運行。.后臺登錄頁面繞過越權(quán)操作，

19、可直接通過訪問后臺地址進行訪問，繞過登陸限制?？蓭砣缦挛：Γ阂坏┤肭终甙l(fā)現(xiàn)后臺 url ,便可進入后臺頁面，進行非法操作。修復建議：對后臺所有 url做好權(quán)限設(shè)置。禁止外網(wǎng)訪問后臺地址。.CVS信息泄漏漏洞描述：由于目標網(wǎng)站沒有及時清除CVS服務(wù)器連接時的殘留信息，導致存在此漏洞。漏洞測試:訪問/ cvs/等頁面，若出現(xiàn)下圖內(nèi)容，則表示存在此漏洞。前面是用戶名后面是服務(wù)器地址漏洞危害：攻擊者可利用該漏洞下載網(wǎng)站的源代碼，獲得數(shù)據(jù)庫的連接密碼等敏感信 息；攻擊者可通過源代碼分析出新的系統(tǒng)漏洞，從而進一步入侵系統(tǒng)。修復建議：刪除指定 CVS生成的各種文件，如“/CVS/Root”等。.短文件名泄漏漏洞漏洞等級：中危漏洞描述：該漏洞由于 Windows處理較長文件名時為方便使用較短的文件名代替，攻 擊者可利用該漏洞嘗試獲取網(wǎng)站服務(wù)器下的文件