漏洞名称
风险级别
漏洞描述
加固建议
输入与输出验证
SQL注入漏洞
高危
当Web运用程序未对用户输入的数据进行足够的安全处理(如危险字符过滤或者语句过滤),而直接拼接SQL语句实行时,攻击者可以精心布局参数值,使做事器实行非预期的SQL语句并返回结果,造成数据库信息透露。利用SQL注入漏洞,攻击者可获取数据库的增、删、改、查权限,乃至实行系统命令,上传后门文件等。
针对SQL注入漏洞,须要对网站所有参数中提交的数据进行过滤,禁止输入"'"、"xor"、"or"、"--"、"#"、"select"、"and"等分外字符;所有的查询语句都利用数据库供应的参数化查询接口,SQL语句利用参数化处理后的数据作为输入,而不是将用户输入变量嵌入到SQL语句中;严格限定网站用户对数据库的操作权限,给此用户供应仅仅能够知足其事情的权限,从而最大限度的减少注入攻击对数据库的危害;避免网站显示SQL缺点信息,比如类型缺点、字段不匹配等,防止攻击者网络这些缺点信息进行判断进而实行SQL注入攻击。
输入与输出验证
XSS跨站脚本漏洞
高危
跨站脚本攻击是通过在网页中加入恶意代码,当访问者浏览网页时恶意代码会被实行,攻击者可利用该漏洞盗取或操纵客户会话和 cookie,用来模拟合法用户,从而使攻击者得到管理员权限,掌握全体网站。
1.在cookie中设置了HttpOnly属性,那么通过JavaScript脚本将无法读取到cookie信息,这样能一定程度上防止XSS攻击。2.假定所有输入都是可疑的,必须对所有输入中的script、iframe等字样进行严格的检讨。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP要求中的cookie中的变量,HTTP要求头部中的变量等。3.不仅验证数据的类型,还要验证其格式、长度、范围和内容。4.过滤“<” 、“>” 将用户输入放入引号间,基本实现数据与代码隔离;过滤双引号防止用户超过容许的标记,添加自定义标记;过滤TAB和空格,防止关键字被拆分;过滤script关键字;过滤,防止HTML属性绕过检讨。在客户端和做事器端同时做数据的验证与过滤。5.对输出的数据也要检讨,数据库里的值有可能会在一个大网站的多处都有输出,纵然在输入做了编码等操作,在各处的输出点时也要进行安全检讨。
输入与输出验证
CRLF注入漏洞
高危
CRLF是”回车 + 换行”(\r\n)的简称。在HTTP协议中,HTTP Header与HTTP Body是用两个CRLF分隔的,浏览器便是根据这两个CRLF来取出HTTP 内容并显示出来。以是,一旦我们能够掌握HTTP 头中的字符,注入一些恶意的换行,这样我们就能注入一些会话Cookie或者HTML代码,以是CRLF Injection又叫HTTP Response Splitting,简称HRS。HRS是比XSS危害更大的安全问题。
针对CRLF注入漏洞,建议过滤\r 、\n等分外字符,避免输入的数据污染到其他HTTP头。
输入与输出验证
URL重定向钓鱼
高危
通过构建URL,攻击者可以利用户重定向到任意URL,利用这个漏洞可以诱利用户访问某个页面,挂马、密码记录、下载任意文件等,常被用来钓鱼。
1.referer的限定如果确定通报URL参数进入的来源,可以通过该办法实现安全限定,担保该URL的有效性,避免恶意用户自己天生跳转链接。2.加入有效性验证Token担保所有天生的链接都是来自于可信域的,通过在天生的链接里加入用户不可控的Token对天生的链接进行校验,可以避免用户天生自己的恶意链接从而被利用。3.URL白名单,在白名单内才进行跳转
输入与输出验证
Host头攻击漏洞
高危
对开拓职员来说,提取要求头中的Host参数写入当前页面是一个很不明智的选择。由于如果这样,攻击者就可以通过修正HTTP要求头中的Host字段,掌握做事器返回页面中的URL。
不许可读取Host字段并写入页面。如有须要,应利用做事器脚本自带的SERVER_NAME变量。
输入与输出验证
框架注入漏洞
高危
攻击者有可能注入含有恶意内容的 frame 或 iframe 标签。如果用户不足谨慎,就有可能浏览该标签所对应的页面,但意识不到自己会离开原始站点而进入恶意的站点。之后,攻击者便可以勾引用户再次登录,然后获取其登录凭据。
建议过滤以下所有字符:| & ; $ % @ ' " \' \" <> () + CR LF , \。
输入与输出验证
CSRF跨站要求假造漏洞
高危
攻击者可利用该漏洞模拟合法用户,从而使攻击者能够以该用户身份查看或变更用户记录以及实行事务。
1.利用验证码利用验证码,那么每次操作都须要用户进行互动,可大略有效的防御CSRF攻击。2.检测referer通过检讨Referer的值,我们就可以判断这个要求是合法的还是造孽的3.增加一个随机的token值添加一个参数Token,其值是随机的。这样攻击者由于不知道Token而无法布局出合法的要求进行攻击。
输入与输出验证
文件上传漏洞
高危
验证上传文件的程序没有对上传文件作任何过滤,导致可以上传任意文件到做事器,乃至是病毒文件和木马文件。
对付上传的附件,验证程序要做严格验证,利用做事器端校验,而不能仅用前端javascript验证。 1.建议严格限定上传文件类型和上传文件名及后缀。2.检讨文件头和文件内容,对上传文件目录的运行权限进行严格限定。3.及时排查、删除做事器木马文件。
输入与输出验证
本地文件包含漏洞
高危
由于程序员未对用户可控的变量进行输入检讨,导致用户可以掌握被包含的文件,成功利用时可以使web server将特定文件当成脚本实行,从而导致攻击者可获取一定的做事器权限;或直接读取系统文件,造成做事器敏感信息透露。
针对文件包含漏洞,建议采取“白名单”的办法,限定许可包含的文件范围。
输入与输出验证
远程文件包含漏洞
高危
做事器通过措辞的特性(函数)去包含任意文件时,由于要包含的这个文件来源过滤不严格,从而可以去包含一个恶意文件,攻击者就可以远程布局一个特定的恶意文件达到攻击目的。
如果一定要动态包含文件,建议最好明确规定包含哪些文件,进行白名单比对。同时,也可以在包含函数中加入目录限定。
输入与输出验证
SSRF(做事端要求假造)
高危
很多web运用都供应了从其他的做事器上获取数据的功能。利用用户指定的URL,web运用可以获取图片,下载文件,读取文件内容等。这个功能如果被恶意利用,可以利用存在毛病的web运用作为代理攻击远程和本地的做事器,探测内网信息乃至内网入侵。
SSRF形成的缘故原由大都是由于做事端供应了从其他做事器运用获取数据的功能且没有对目标地址做过滤与限定。比如从指定URL地址获取网页文本内容,加载指定地址的图片,下载等等。建议对url参数值做严格的限定。
输入与输出验证
任意文件读取漏洞
高危
程序过滤不严,导致可以通过../../../等办法跳转到其他目录读取任意文件。
1.过滤”../”的分外字符2.限定读取文件的目录,不许可跨目录读取
输入与输出验证
任意文件下载漏洞
高危
在正常下载链接的文件参数前加 ../../../../ 来跳出目录限定,下载系统文件等任意文件。该漏洞是由于后台代码未对下载路径做安全限定引起的。
针对任意文件下载漏洞,建议严格限定文件下载路径。
配置管理
Struts2 dev-mod命令实行漏洞
高危
网站封装采取Apache Struts xwork作为网站运用框架,且devMode为打开状态。当这个设置开启时,Struts2会供应更多的日志和调试信息来帮助开拓者更快速的开拓。然而在开拓者模式下,将许可OGNL语句注入,攻击者可能利用此漏洞进行远程代码实行。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
S2-005命令实行漏洞
高危
OGNL除其他功能外,还供应了广泛的表达评估功能。该漏洞许可恶意用户绕过构建在ParametersInterceptor中的“#” - 利用保护,从而能够利用此漏洞进行远程代码实行。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
S2-009命令实行漏洞
高危
OGNL除其他功能外,还供应广泛的表达评估功能。该漏洞许可恶意用户绕过构建到ParametersInterceptor中的所有保护(正则表达式模式,谢绝方法调用),从而能够在任何公开的字符串变量中注入恶意表达式以进一步评估。S2-003和S2-005中已经办理了类似的行为,但事实证明,基于白名单可接管的参数名称所产生的修复只是部分地关闭了漏洞。正则表达式在ParametersInterceptor中匹配top ['foo'](0)作为一个有效的表达式,OGNL把它视为(top ['foo'])(0)并且将'foo'动作参数的值作为OGNL表达式来打算。这使得恶意用户可以将任意的OGNL语句放入任何由操作暴露的字符串变量中,并将其作为OGNL表达式进行求值,并且由于OGNL语句在HTTP参数值中,攻击者可以利用黑名单字符(例如#)禁用方法实行并实行任意方法绕过了ParametersInterceptor和OGNL库的保护。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
S2-016命令实行漏洞
高危
在struts2中,DefaultActionMapper类支持以"action:"、"redirect:"、"redirectAction:"作为导航或是重定向前缀,但是这些前缀后面同时可以跟OGNL表达式,由于struts2没有对这些前缀做过滤,导致利用OGNL表达式调用java静态方法实行任意系统命令。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
S2-017URL跳转漏洞
高危
在2.3.15.1之前的Struts 2中,“redirect:”或“redirectAction:”之后的信息可以很随意马虎地被操纵,以重定向到任意位置。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
S2-019命令实行漏洞
高危
Struts2的操作映射机制支持分外参数前缀操作,这可能会在表格底部附加勾引信息,在映射 "action:" 前缀操作时存在安全绕过漏洞,可被攻击者利用绕过某些安全限定访问受限定功能。Struts2的Dynamic Method Invocation机制是默认开启的(仅提醒用户如果可能的情形下关闭此机制)这样就存在远程代码实行漏洞,攻击者可利用此漏洞在受影响运用高下文中实行任意代码。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
S2-032命令实行漏洞
高危
动态方法调用启用时,可能会通报一个恶意表达式,用于在做事器端实行任意代码。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
S2-037命令实行漏洞
高危
Struts2利用Rest插件之后,ActionMapping通过org.apache.struts2.rest.RestActionMapper.java类的publicActionMappinggetMapping(HttpServl etRequest request,ConfigurationManagerconfigManager)的方法获取的。个中,当要求url是如下的格式:actionName/id/methodName会获取methodName 作为ActionMapping的method属性。但method属性未做任何处理,同S2-032漏洞实行流程同等,都是将ActionMapping的属性设置到ActionProxy中,从ActionProxy中获取method属性带入到ognl表达式中实行,通过OGNL表达式静态调用获取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS属性并覆盖_memberAccess的办法进行绕过,进而可在受掌握的做事器端实行任意代码。即攻击者在支配了REST插件的Struts 2做事器上均可利用该漏洞远程实行任意命令
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
S2-045命令实行漏洞
高危
利用 Jakarta 文件上传插件的 Struts,攻击者可在上传文件时通过修正HTTP要求头中的 Content-Type 值来触发该漏洞,进而实行系统命令。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
S2-046命令实行漏洞
高危
利用 Jakarta 文件上传插件的 Struts,攻击者可在上传文件的大小(由 Content-Length 头指定)大于 Struts2 许可的最大大小(2GB),文件名内容布局恶意的 OGNL 来触发该漏洞,进而实行系统命令。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
S2-052命令实行漏洞
高危
Struts2 REST 插件利用带有 XStream 程序的 XStream Handler 进行未经任何代码过滤的反序列化操作,这可能在反序列化XML payloads时导致远程代码实行。任意攻击者都可以布局恶意的XML内容提升权限。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
JDWP远程命令实行漏洞
高危
JDWP 是 Java Debug Wire Protocol 的缩写,它定义了调试器(debugger)和被调试的 Java 虚拟机(target vm)之间的通信协议。当对外开启该协议的Java调试模式时,存在远程命令实行漏洞。许可攻击者远程实行代码,得到做事器权限。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
ElasticSearch命令实行漏洞
高危
该漏洞存在于一个名为ElasticSearch.yml的文件,在这个文件中存在一个配置项“script.disable_dynamic”,默认为“false”。此默认配置许可做事器动态实行用户发送的任意代码。黑客只须要通过一个URL地址向做事器传送一段代码,就可以创建和实行他们自己的程序。一旦黑客得到通过,他们在做事器上的操作将不受任何限定,包括盗取网站中的用户账号及密码等敏感信息,或者留下一个后门程序。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
Resin任意文件读取漏洞
高危
安装某些版本Resin做事器的网站存在可读取任意文件的漏洞,攻击者利用该漏洞可以读取网站做事器的任意文件内容。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
GNU Bash远程命令实行
高危
GNU Bash 4.3及之前版本在评估某些布局的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限定,以实行shell命令。
1.升级最新版本;2.系统如果不再利用 ,请将其下线或用防火墙屏蔽。
配置管理
Unicode 转换漏洞
高危
在Unicode在转换时,由于超长字节序列和缺点格式引起子序列的安全问题。通过分外的编码格式绕过程序对恶意字符的检测,可以用在SQL注入、XSS等。
1.升级Unicode版本至官方最新稳定版本http://www.unicode.org2.Unicode转化UTF-8编码后,对转换后进行安全检测,对分外字符过滤或进行安全编码后输出。
配置管理
检测到网站被黑痕迹
高危
网站页面已被修改或已有入侵痕迹。
打消网站木马,全面检测网站漏洞并及时修复。
配置管理
利用被弃用的SSL 2.0协议
高危
网站https利用了SSL 2.0协议。该协议非常老旧且已被弃用。该协议存在大量已知的安全漏洞,比如DROWN漏洞等。
禁用SSL 2.0或者利用SSL 3.0 或TLS 1.0代替。
配置管理
OpenSSL远程内存透露漏洞(心脏滴血漏洞)
高危
OpenSSL是一款开放源码的SSL实现,用来实现网络通信的高强度加密。漏洞与OpenSSL TLS/DTLS传输层安全协议heartbeat扩展组件(RFC6520)干系,因此漏洞又被称为“heartbleed bug”(中文名称:“心血”漏洞)。该漏洞无需任何特权信息或身份验证,就可以得到X.509证书的私钥、用户名与密码、cookies等信息,进一步可直接从做事供应商和用户通讯中盗取谈天工具、电子邮件以及主要的商业文档和通信等私密数据。
升级OpenSSL版本到最新的1.0.1g;利用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块。
配置管理
JBoss Seam参数化EL表达式远程代码实行漏洞
高危
JBoss Seam是一个Java EE5框架,把JSF与EJB3.0组件合并在一起,从而为开拓基于Web的企业运用程序供应一个最新的模式。JBoss Seam处理某些参数化JBoss EL表达式的办法存在输入过滤漏洞( CVE-2010-1871)。如果远程攻击者能够诱骗通过认证的JBoss Seam用户访问特制的网页,就可能导致实行任意代码
升级至4.3.0 EL4或以上更高的、确认已修复此漏洞的版本。参考链接:https://bugzilla.redhat.com/show_bug.cgi?id=615956
配置管理
Weblogic Java反序列化远程命令实行漏洞
高危
Weblogic存在Java反序列化漏洞,攻击者可以远程实行系统命令,得到做事器权限。
及时升级官方补丁。
配置管理
JBoss反序列化漏洞
高危
根源在CommonsCollections组件中对付凑集的操作存在可以进行反射调用的方法,并且该方法在干系工具反序列化时并未进行任何校验,导致远程代码实行。利用漏洞,许可攻击者远程实行系统命令,得到做事器权限,导致做事器运行安全风险。
1.针对JBoss Java反序列化漏洞,建议更新jboss版本到最新版(http://www.jboss.org/)或 更新官方补丁。2.针对数据库帐号密码进行修正,哀求密码长度8位数以上,密码繁芜程度必须包含数字、大小写字母及分外字符。3.对做事器进行全面安全检讨,及时排查、打消webshell等后门文件;及时修正数据库密码等。
配置管理
JBoss JMXInvokerServlet远程命令实行漏洞
高危
Jboss在默认安装的时候,会安装http-invoker.sar站点,当要求invoker/JMXInvokerServlet或invoker/EJBInvokerServlet会调用org.jboss.invocation.http.servlet.InvokerServlet.class处理要求。该类对GET要乞降POST要求,统一调用processRequest函数处理,因此,攻击者须要自己布局一个jboss的类,并且将其序列化,然后将序列化的数据直接提交到存在漏洞站点的invoker/JMXInvokerServlet页面,恶意代码将会被实行。
建议删除或禁止访问/invoker/JMXInvokerServlet文件。
配置管理
Apache ActiveMQ远程代码实行漏洞 (CVE-2016-3088)
高危
Apache ActiveMQ Fileserver 存在多个安全漏洞,可使远程攻击者用恶意代码替代Web运用,在受影响系统上实行远程代码(CVE-2016-3088)。
1.ActiveMQ Fileserver 的功能在 5.14.0 及其往后的版本中已被移除。建议用户升级至 5.14.0 及其往后版本。2.通过移除 conf\jetty.xml 的以下配置来禁用 ActiveMQ Fileserver 功能
配置管理
Apache Tomcat示例目录漏洞
高危
tomcat安装时默认的演示、文档页面,会造成信息透露和XSS跨站脚本漏洞,攻击者可以创建、销毁或掌握session。
删除干系功能演示页面。
配置管理
Tomcat版本过低漏洞
中危
Tomcat由于版本过低存在安全漏洞。
升级Tomcat版本或及时打补丁。
配置管理
S2-053命令实行漏洞
中危
Apache Struts2 Freemarker标签如果被缺点的配置利用,将会导致RCE远程代码实行漏洞。
1.升级到Apache Struts版本2.5.12或2.3.342.利用只读属性来初始化value属性(仅限getter属性)3.Freemarker标签内容不要通过Request办法获取
配置管理
HPPT.sys远程代码实行漏洞(MS15-034)
中危
远程实行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未精确剖析经分外设计的 HTTP 要求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的高下文中实行任意代码。影响以下版本操作系统的IIS做事器:Windows 7、Windows 8、Windows server 2008、Windows server 2012
用户安装微软官方修复补丁(3042553)。https://support.microsoft.com/zh-cn/kb/3042553
配置管理
WebDav文件上传/信息透露漏洞
中危
WebDAV是一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法。使运用程序可直接对Web Server文件进行读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本掌握。远程攻击者可能利用此漏洞非授权读写文件。
常日情形下网站不须要支持额外的方法,建议禁用WebDav做事,关闭PUT、MOVE、COPY等方法。
配置管理
slowhttp谢绝做事攻击
中危
如果远程攻击者利用发包工具向Apache做事器发送了不完全的HTTP请 求,做事器会打开连接等待接管完全的头,但如果发包工具不再连续发送完全要求而是发送无效头的话,就会一贯保持打开的连接。这种攻击所造成的影响很严重, 由于攻击者不须要发送很大的通讯就可以耗尽做事器上的可用连接。也便是说,纵然低带宽的用户也可以攻击大流量的做事器。
1.升级到最新版的apache2.在httpd.conf中添加RequestReadTimeout header=20-40,MinRate=500 body=20,MinRate=5003.直接在 iptables 中限定每个 IP 的连接数可以办理以上绝大部分问题,除非攻击者拥有浩瀚肉鸡,否则单 IP 的攻击将失落去效果。iptables -A INPUT -p tcp --syn --dport 8889 -m connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset
配置管理
jQuery版本过低(jQuery低版本存在跨站)
中危
jQuery 1.6.3之前版本中存在跨站脚本漏洞。当利用location.hash选择元素时,通过特制的标签,远程攻击者利用该漏洞注入任意web脚本或HTML。
升级jQuery版本。
配置管理
不屈安的javascript库文件
中危
该版本的javascript库存在多个安全漏洞
升级javascript库版本。
配置管理
传输层保护不敷漏洞
中危
传输层保护不敷,会暴露传输的数据,导致数据被窃听,账号被盗等,如果是管理员的账号面临这个问题,那么将会导致全体网站处于数据暴露的状态,将对网站和用户造成严重的乃至无法挽回的丢失。
1.对所有敏感的页面利用SSL,非SSL要求的页面该当被重定向到SSL要求的页面。2.对所有敏感的Cookie,设置“secure”的flag。3.担保SSL的供应商只支持强大的算法,这样就不能够被轻易破解。(利用标准的强算法)4.确保您的证书是有效的,不过期,不被撤销,并匹配这个网站利用的所有域。5.后台和其他的连接也该当利用SSL或其他加密技能。6.纵然是开拓者的注释也该当很好的被保护,防止信息透露。
配置管理
做事器启用了TRACE Method方法
中危
1. 恶意攻击者可以通过TRACE Method返回的信息理解到网站前真个一些信息,如缓存做事器等,从而为下一步的攻击供应便利。2.恶意攻击者可以通过TRACE Method进行XSS攻击3.纵然网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息,那么通过TRACE Method恶意攻击者还是可以绕过这个限定读取到cookie信息。
禁用TRACE方法。
配置管理
点击挟制漏洞(X-Frame-Options头缺失落)
中危
通过覆盖不可见的框架误导受害者点击,受害者点击的是他所看到的网页,但实在他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。
设置X-Frame-Options值来防御利用iframe嵌套的点击挟制攻击。
配置管理
启用了不屈安的HTTP方法(启用了OPTIONS方法)
中危
开启了不屈安的HTTP方法:DELTE/SEARCE/COPY,MOVE/PROPFIND/PROPPATCH/MKCOL/LOCK/UNLOCK/PUT,可能会在Web 做事器上上载、修正或删除Web 页面、脚本和文件。
如果做事器不须要支持WebDAV,请务必禁用它,或禁止不必要的HTTP 方法。
配置管理
域名访问限定不严格
中危
目标存在域名访问限定不严格漏洞。Http要求的Hostname字段没有严格的域名限定,导致可以绕过一些防护方法。
配置WEB做事器,限定只能以域名形式访问做事器。
信息透露
SVN源代码透露
高危
造成SVN源代码漏洞的紧张缘故原由是管理员操作不规范。在利用SVN管理本地代码过程中,会自动天生一个名为.svn的隐蔽文件夹,个中包含主要的源代码信息。但一些网站管理员在发布代码时,不愿意利用‘导出’功能,而是直接复制代码文件夹到WEB做事器上,这就使.svn隐蔽文件夹被暴露于外网环境,黑客可以借助个中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点构造。更严重的问题在于,SVN产生的.svn目录下还包含了以.svn-base结尾的源代码文件副本(低版本SVN详细路径为text-base目录,高版本SVN为pristine目录),如果做事器没有对此类后缀做解析,黑客则可以直接得到文件源代码。
针对SVN信息透露漏洞,建议删除WEB目录里的SVN文件或限定访问.svn目录,并升级SVN软件至1.7或以上更高版本
信息透露
.idea工程目录信息透露漏洞
高危
.idea目录用来放置开拓工程的一些配置文件,常日是.xml文件。个中workspace.xml里面存放一些开拓者个人配置,比如开拓路径、开拓环境等。里面包含一些敏感信息。
生产环境中删除.idea目录及该目录下的文件,或配置网站做事器禁止访问.idea目录。
信息透露
ASP.NET_Padding_Oracle信息透露(MS10-070)
高危
ASP.NET由于加密添补验证过程中处理缺点不当,导致存在一个信息泄露漏洞。成功利用此漏洞的攻击者可以读取做事器加密的数据,例如视图状态。 此漏洞还可以用于数据修改,如果成功利用,可用于解密和修改做事器加密的数据。
建议将Microsoft .NET Framework 更新至最新版本。
信息透露
.git信息透露
高危
透露网站敏感信息,攻击者可直接获取源码信息履行进一步攻击。
删除.git目录。
信息透露
缺点页面信息透露(运用程序缺点信息)
中危
攻击者可以根据缺点或警告网络做事器信息。
1.关闭web做事器缺点提示;2.关闭运行平台的缺点提示;3.建立缺点机制,不要把真实的缺点反馈给访问者。捕获后台抛出的非常,制订非常固定跳转页面,如500缺点,跳转到相应页面,例如“系统非常请与管理员联系”,403非常,找不到页面等等。
信息透露
备份文件透露
中危
在网站的利用过程中,每每须要对网站中的文件进行修正、升级。此时就须要对网站整站或者个中某一页面进行备份。当备份文件或者修正过程中的缓存文件由于各种缘故原由而被留在网站web目录下,而该目录又没有设置访问权限时,便有可能导致备份文件或者编辑器的缓存文件被下载,导致敏感信息透露,给做事器的安全埋下隐患。
1.删除不必要的备份文件;2.设置访问权限;3.将备份文件放至做事器其它目录下。
信息透露
目录遍历
中危
攻击者通过不指定url中的详细文件,来查看某个目录下的所有文件和目录构造。
针对目录遍历漏洞,建议通过修正配置文件,去除Web 容器(如Apache)的文件目录索引功能。
信息透露
IIS短文件名漏洞
中危
Microsoft IIS在实现上存在文件列举漏洞,攻击者可以利用“~”字符猜解或遍历做事器中的文件名,或对IIS做事器中的.Net Framework进行谢绝做事攻击。
针对IIS短文件名漏洞,建议禁止url中利用“~”或它的Unicode编码,或关闭windows的8.3格式功能。
信息透露
源代码透露漏洞
中危
部分或全部页面源代码透露,攻击者可审查源代码透露的可用信息进一步渗透。
删除源代码文件或对须要的未解析的源代码进行解析。
信息透露
robots.txt文件透露
中危
透露网站敏感信息,包括网站的后台页面或其它隐私页面。
1.robots.txt 文件不应用来保护或隐蔽信息。2.该当将敏感的文件和目录移到另一个隔离的子目录,以便将这个目录打消在 Web Robot 搜索之外。如下列示例所示,将文件移到“folder”之类的非特定目录名称是比较好的办理方案: New directory structure: /folder/passwords.txt /folder/sensitive_folder/ New robots.txt: User-agent: Disallow: /folder/ 3.如果您无法变动目录构造,且必须将特定目录打消于 Web Robot 之外,在 robots.txt 文件中,请只用局部名称。虽然这不是最好的办理方案,但至少它能加大完全目录名称的预测难度。例如,如果要打消“sensitive_folder”和 “passwords.txt”,请利用下列名称(假设 Web 根目录中没有起始于相同字符的文件或目录): robots.txt: User-agent: Disallow: /se Disallow: /pa。
信息透露
敏感信息透露
中危
敏感信息透露一样平常包括:中间件、软件框架(cms)类型和版本信息,数据库表构造、网站架构、账号密码体系等等。这些信息一样平常在做事器缺点信息、html注释、隐蔽表单、示例文件等地方涌现。攻击者得到这些信息,有助于缩小攻击范围,进行有针对性的更深层次的攻击。
对付一样平常信息透露,删除无用页面,或删除页面中的敏感信息即可。对付敏感报错信息透露,须要设置代码捕获非常,并抛出非常,做事端涌现非常后不在客户端回显,统一返回不包含敏感信息的缺点页面。
信息透露
Github信息透露漏洞
中危
开拓职员利用Github进行代码管理。而免用度户在Github上的项目内容可在网站中检索到,并对所有用户开放可查看。透露的敏感信息一样平常包括:软件源代码、程序账号密码等等。攻击者得到这些信息,可以进行代码审计,更有针对性的找到网站漏洞,乃至可以得到用户账号密码,直接登录得到用户权限。
删除敏感的Github项目代码,对可能透露的帐号密码及时进行修正。
信息透露
PHP探针信息透露
中危
PHP探针文件会导致网站敏感信息透露
删除默认安装PHP探针文件。
信息透露
phpinfo页面透露
中危
透露网站做事器敏感信息,包括网站物理路径、PHP版本、做事器信息及环境变量等。
1.通过修正做事器环境内php.ini文件,将“expose_php = On”修正成“expose_php = Off”然后重启php即可。2.如果确实须要该测试信息,在测试时利用,测试完毕后将该文件删除掉。3.若无须要可以将一些php的危险函数禁用,打开/etc/php.ini文件,查找到 disable_functions,添加需禁用的以下函数名:phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen
信息透露
创造隐蔽目录
低危
考试测验了检测做事器上的隐蔽目录,403 Forbidden 相应透露了存在此目录,纵然不许可对其进行访问,透露网站目录构造。
可对禁止的资源发布“404 - Not Found”相应状态代码,或者将其完备撤除。
信息透露
内部IP地址透露
低危
透露内网IP地址
禁止将内网IP置于网站页面或代码层中。
信息透露
OpenSSH CBC模式信息透露漏洞
低危
配置为CBC模式,OpenSSH没有精确地处理分组密码算法加密的SSH会话中所涌现的缺点,导致可能透露密文中任意块最多32位纯文本。
临时办理方案:在SSH会话中仅利用CTR模式加密算法,如AES-CTR目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接: https://downloads.ssh.com/
信息透露
未加密的登录要求
低危
检测中创造登录要求(例如:用户名、密码、电子邮件地址、社会安全号码等)被发送到做事器的过程中并未采取通讯加密协议或加密。恶意职员可通过数据截包实现网站管理员用户名、密码信息的截获。
注册或登录时,客户发送要求敏感信息进行加密,例如密码、电话、邮件等敏感信息进行加密传输。
访问掌握
Memcached 未授权访问漏洞
高危
由于memcached安全设计毛病,客户端连接memcached做事器后无需认证就可读取、修正做事器缓存内容。
1.配置memcached监听本地回环地址127.0.0.1。2.当memcached配置为监听内网IP或公网IP时,利用主机防火墙(iptalbes、firewalld等)和网络防火墙对memcached做事端口进行过滤。
访问掌握
rsync未授权访问漏洞
高危
rsync是类unix系统下的数据镜像备份工具,如果配置不当,可导致攻击者匿名访问rsync程序,进一步进行增编削等操作。
建议两种办法防御,一是限定访问的IP,另一个是不许可匿名访问,添加用户口令。
访问掌握
WebSphere绕过安全限定漏洞
高危
在Java端"%c0%ae"解析为"\uC0AE",末了转义为ASCCII低字符"."。通过这个方法可以绕过目录保护读取包配置文件信息,包括web-inf和meta-inf目录下的内容。攻击者还可以利用此漏洞查看或实行war包里面的文件。此漏洞影响WebSphere Application Server 版本5.1, 6.0, 6.1 和7.0。
升级WebSphere至最新版,或安装PK81387安全补丁。http://www-01.ibm.com/support/docview.wss?uid=swg24022456
访问掌握
cisco vpn未授权访问
高危
Cisco Adaptive Security Appliance (ASA) Software在Clientless SSL VPN入口自定义框架在实现上存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞修正Clientless SSL VPN入口内容,导致盗取凭据、跨站脚本及其他攻击。此漏洞源于没有精确实现Clientless SSL VPN入口自定义框架内的身份验证检讨。
建议升级思科最新发布的补丁:http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa
访问掌握
DNS域传送漏洞
高危
DNS区域传送(DNS zone transfer)指的是一台备用做事器利用来自主做事器的数据刷新自己的域(zone)数据库,一样平常来说,DNS区域传送操作只在网络里真的有备用域名DNS做事器时才有必要用到,但许多DNS做事器却被缺点地配置成只要有client发出要求,就会向对方供应一个zone数据库的详细信息。
针对域传送漏洞,建议通过定义ACL(访问掌握列表)来限定在域名做事器之间的区域传送,常日可编辑/etc/named.conf中allow-transfer参数。存在漏洞的是ns1.com, 如果其他ns2、ns3、ns4是备用dns做事器,那么该当只许可域传送至其他对应的地址。配置如下:allow-transfer { localhost; ns2的IP; ns3的IP; ns4的IP;};
访问掌握
Mongodb数据库未授权访问漏洞
高危
Mongodb在启动的时候未设置 –auth参数,造成恶意攻击者可利用默认空口令上岸到数据做事器。
建议增加数据库用户校验或限定设备登录IP地址,限定未授权访问。
访问掌握
redis数据库未授权访问漏洞
高危
Redis 默认情形下会绑定在 0.0.0.0:6379,这样将会将 Redis 做事暴露到公网上,如果在没有开启认证的情形下,可以导致任意用户在可以访问目标做事器的情形下未授权访问 Redis 以及读取 Redis 的数据。攻击者在未授权访问 Redis 的情形下可以利用 Redis的干系方法,可以成功在 Redis 做事器上写入公钥,进而可以利用对应私钥直接登录目标做事器。
1.配置bind选项,限定可以连接Redis做事器的IP,修正 Redis 的默认端口63792.配置认证,也便是AUTH,设置密码,密码会以明文办法保存在Redis配置文件中3.配置rename-command 配置项 “RENAME_CONFIG”,这样纵然存在未授权访问,也能够给攻击者利用config 指令加大难度4.好是Redis作者表示将会开拓”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如config等。
访问掌握
phpmyadmin未授权访问
中危
创造phpmyadmin路径,且没有密码保护,可直接登录数据库,得到数据库root权限。
设置数据库密码防止未授权访问,修正phpmyadmin默认路径防止被攻击者创造。
访问掌握
.htaccess文件未授权访问
中危
攻击者可未授权访问.htaccess文件,透露网站敏感信息。
禁止.htaccess文件被查看
访问掌握
弱口令漏洞
高危
包括但不限于:网站登录/FTP/SSH/数据库/中间件等,攻击者可猜解用户登录口令登录系统,履行进一步渗透攻击。
针对弱口令漏洞,建议用户及时修正密码,加强口令强度,设置口令为8位以上大小写字母、数字、分外符号组合,并定期改换密码,避免利用弱口令。
认证与会话管理
SNMP默认团体名漏洞
高危
由于很多操作系统或者网络设备的SNMP代理做事存在可读默认口令。如果这些默认口令没有修正或者为弱口令,远程攻击者就可以通过SNMP代理获取系统的很多细节信息。如果攻击者得到了可写口令,它乃至可以修正系统文件或者实行系统命令。
针对SNMP信息透露漏洞,建议修正SNMP缺省口令或者关闭SNMP做事。
认证与会话管理
FTP开启匿名登录
高危
攻击者可利用弱口令或匿名登录漏洞直接登录 FTP 做事,上传恶意文件,从而获取系统权限,并可能造成数据透露。
FTP做事为明文传输,建议利用SFTP代替,如须要连续休利用建议,禁止匿名登录,设置口令为8位以上大小写字母、数字、分外符号组合,并定期改换密码,避免利用弱口令。
认证与会话管理
会话挟制漏洞
中危
攻击者通过暴力破解、预测或者盗取(网络嗅探/XSS攻击)等办法获取用户Session ID后,利用该Session ID登录目标账号的攻击方法。
1.变动Session名称。PHP中Session的默认名称是PHPSESSID,此变量会保存在Cookie中,如果攻击者不剖析站点,就不能猜到Session名称,阻挡部分攻击。2.关闭透明化Session ID。透明化Session ID指当浏览器中的Http要求没有利用Cookie来存放Session ID时,Session ID则利用URL来通报。3.设置HttpOnly。通过设置Cookie的HttpOnly为true,可以防止客户端脚本访问这个Cookie,从而有效的防止XSS攻击。4.关闭所有phpinfo类dump request信息的页面。5.利用User-Agent检测要求的同等性。但有专家警告不要依赖于检讨User-Agent的同等性。这是由于做事器群集中的HTTP代理做事器会对User-Agent进行编辑,而本群集中的多个代理做事器在编辑该值时可能会不一致。
认证与会话管理
会话固定漏洞
中危
会话固定也可以算作是会话挟制的一种类型,缘故原由是会话固定的攻击的紧张目的同样是得到目标用户的合法会话,不过会话固定还可以是强制受害者利用攻击者设定的一个有效会话,以此来得到用户的敏感信息。
1.用户登录时天生新的Session ID。如果攻击者利用的会话标识符不是有效的,那么这种办法将会非常有效。如果不是有效的会话标识符,做事器将会哀求用户重新登录。如果攻击者利用的是有效的Session ID,那么还可以通过校验的办法来避免攻击。2.大部分防止会话挟制的方法对会话固定攻击同样有效。如设置HttpOnly,关闭透明化Session ID,User-Agent验证,Token校验等。
认证与会话管理
会话cookie中短缺HttpOnly属性
低危
如不设置此属性,攻击者可合营跨站脚本盗取cookie。设置此属性,纵然有跨站漏洞存在,也很难利用。
在做事器端设置cookie的HttpOnly属性为真。
认证与会话管理
未禁用密码表单自动完成属性
低危
自动填写未对密码字段禁用的 HTML 属性。
将“autocomplete”属性精确设置为“off”。
认证与会话管理
会话cookie中短缺secure属性
低危
可能会盗取在加密的会话期间发送的用户和会话信息。
做事器开启了Https时,cookie的Secure属性应设为true
逻辑类
未授权访问
高危
后台页面或者其他用户页面没有做session认证,导致可以无需登录,直接访问页面。
对未授权访问页面做session认证,严格审核后台功能页面的访问权限,若为未登任命户则谢绝访问。
逻辑类
越权漏洞
高危
水平越权:攻击者能够实行与自己同级别权限用户的操作垂直越权:攻击者能够实行高等别权限用户的操作,比如管理员的干系操作。
1.设计严格的权限掌握系统,对付每个要乞降URL都要进行校验和权限确认,防止造孽要求被实行;2.默认情形下,该当谢绝实行所有访问权限,也便是说缺省不给用户任何权限,防止攻击者利用缺省权限实行攻击等;3.对付每个功能的访问,都要有明确的角色授权,防止黑客利用不完善的访问掌握毛病造成不必要的丢失;或者是实现Web访问的IP白名单列表,或者是只许可属于管理员范围权利的指定IP访问等等。
逻辑类
任意用户密码重置漏洞
高危
系统在处理重置密码要求时利用本地验证方法,未在做事端处理,造成用户可在本地修正数据包,绕过系统身份验证,达到重置任意账号的目的。
针对任意用户密码重置漏洞,建议在做事器端加强逻辑验证。
逻辑类
验证码漏洞
高危
验证码可以一次多用,导致可以暴力破解;验证码没有限定次数和韶光,导致可以无限制的发送验证码。
设置验证码登录一次,变换一次,防止暴力破解;设置验证码120秒只发送一次。
逻辑类
暴力破解漏洞
中危
登录入口没有验证码或者验证码可以一次多用,导致可以暴力破解。攻击者可能试图考试测验每个可能的字母,数字和符号组合,或利用一些暴力破解工具进行预测,直到它创造了一个精确的组合,从而进入登录页面做进一步深度造孽攻击。
1.增加验证码,使之登录失落败一次,验证码变换一次。2.针对密码预测,建议掌握缺点登录次数,以防止暴力破解。同一用户如果5分钟内登录失落败6次,禁用此用户登录30分钟。
逻辑类
用户名猜解漏洞
中危
通过登录信息可以判断有无此用户,可以对用户名进行猜解。
利用模糊的缺点登录提示,如:用户名或密码缺点。
逻辑类
短信轰炸漏洞
中危
短信轰炸是由于系统设计毛病可无限制发送短信验证码给客户端,攻击者可利用该漏洞对任意手机号码进行短信轰炸,对公司造成不良影响和运行安全风险。
建议针对发送短信验证码接口加强权限掌握,在做事端限定单位韶光内发送短信次数。
其它
Webview远程代码实行漏洞
高危
WebView组件中的addJavascriptInterface方法用于实现本地Java和JavaScript的交互,但是该函数并没有对方法调用进行限定,导致攻击者可以调用任何JAVA类,终极导致JavaScript代码对设备进行任意攻击
建议不该用addJavascriptInterface接口,对付Android API Level为17或者以上的Android系统,Google规定许可被调用的函数,必须在Java的远程方法上面声明一个@JavascriptInterface表明;在利用js2java的bridge时候,须要对每个传入的参数进行验证,避免恶意代码的攻击。
其它
代码动态加载安全检测
高危
利用DexClassLoader或PathClassLoader动态加载dex文件、apk文件、jar文件时,如果这些文件存储在可被其他运用读写的目录中(比如sdcard),同时没有对外部加载的文件进行完全性校验,导致运用可能会被恶意代码注入并实行。
将所须要动态加载的文件放置在apk内部,或运用私有目录中;如果运用必须要把所加载的文件放置在可被其他运用读写的目录中(比如sdcard),建议对不可信的加载源进行完全性校验和白名单处理,以担保不被恶意代码注入
其它
运用署名未校验风险
高危
运用署名未校验,攻击者可假造app程序。
增加程序本地署名校验及云真个署名校验
其它
修改和二次打包风险
高危
对移动运用进行破解、再修改或插入恶意代码,末了重新打包天生一个新运用的过程,恶意程序通过插入广告、木马、病毒的办法盗取用户隐私、吸资扣费、耗费流量等。
增加程序本地署名校验及云真个署名校验。
其它
Java代码反编译风险
中危
可通过反编译工具获取java源代码,攻击者可获取源码信息实行更深入的渗透攻击。
1.隔离Java程序;2.对Class文件进行加密;3.代码稠浊。
其它
资源文件透露风险
中危
透露的js文件如果被读取,可能会造成功能逻辑透露,如果被修改,可能被植入钓鱼页面或恶意代码,造成用户的敏感信息透露
对资源文件(.js)进行加密保护,防止资源文件透露。
其它
Webview明文存储密码风险
中危
在利用WebView的过程中忽略了WebView setSavePassword,当用户选择保存在WebView中输入的用户名和密码,则会被明文保存到运用数据目录的databases/webview.db中。如果手机被root就可以获取明文保存的密码,造成用户的个人敏感数据透露。
利用WebView.getSettings().setSavePassword(false)来禁止保存密码
其它
明文数字证书风险
中危
明文存储的数字证书如果被修改,可能会造成客户端与做事端之间的传输数据被截获并解密,造成用户信息透露
对数字证书文件(.cer)进行加密,避免证书文件透露
其它
运用数据任意备份风险
中危
Android 2.1 以上的系统可为App供应运用程序数据的备份和规复功能,该由AndroidMainfest.xml文件中的allowBackup 属性值掌握,其默认值为true。当该属性没有显式设置为false时,攻击者可通过adb backup 和adb restore对App的运用数据进行备份和规复,从而可能获取明文存储的用户敏感信息,如用户的密码、证件号、手机号、交易密码、身份令牌、做事器通信记录等。利用此类信息攻击者可假造用户身份,盗取用户账户资产,或者直接对做事器发起攻击。
关闭运用程序数据的备份和规复功能。
其它
AES/DES加密方法不屈安利用漏洞
中危
利用AES/DES/DESede加密算法时,如果利用ECB模式,随意马虎受到攻击风险,造成信息透露
利用AES/DES/DESede加密算法时,应显示指定利用CBC或CFB加密模式
其它
敏感函数调用风险
中危
APP运用程序中调用了包含敏感行为的函数,包括发送短信、发送地理位置、拨打电话等,可能会导致用户隐私数据透露等风险
开拓者审核包含敏感行为的函数调用,确保其利用是必要且限定于授权用户的
其它
HTTP传输数据风险
中危
攻击者在自己设置的钓鱼网络中配置DNS做事器,将软件要连接的做事器域名解析至攻击者的另一台做事器在,这台做事器就可以得到用户登录信息,或者充当客户端与原做事器的中间人,转发双方数据。
对敏感数据采取基于SSL/TLS的HTTPS进行传输。
其它
HTTPS未校验做事器证书漏洞
中危
虽然利用了https通信办法,但是只是大略的调用而已,并未对SSL证书有效性做验证,攻击者以轻易获取手机用户的明文通信信息。
对SSL证书进行有效性做验证
其它
Activity组件导出风险
中危
导出的Activity组件可以被第三方APP任意调用,导致敏感信息透露,并可能受到绕过认证、恶意代码注入等攻击风险。
如果运用的Activity组件不必要导出,或者组件配置了intent filter标签,建议显示设置组件的“android:exported”属性为false;如果组件必须要供应给外部运用利用,建议对组件进行权限掌握。
其它
Service组件导出风险
中危
导出的Service组件可以被第三方APP任意调用,导致敏感信息透露,并可能受到权限提升、谢绝做事等攻击风险。
如果运用的Service组件不必要导出,或者组件配置了intent filter标签,建议显示设置组件的“android:exported”属性为false;如果组件必须要供应给外部运用利用,建议对组件进行权限掌握。
其它
Broadcast Receiver组件导出风险
中危
导出的Broadcast Receiver组件可以被第三方APP任意调用,导致敏感信息透露,并可能受到权限绕过、谢绝做事等攻击风险
如果运用的Broadcast Receiver组件不必要导出,或者组件配置了intent filter标签,建议显示设置组件的“android:exported”属性为false;如果组件必须要吸收外部运用发送的,建议对组件进行权限掌握。
其它
系统组件本地谢绝做事检测
中危
导出的组件在处理Intent附加数据的时候,没有进行非常捕获,攻击者可通过向运用发送空数据、非常或畸形数据等,导致运用程序崩溃。
不必要导出的组件,建议显示设置组件的“android:exported”属性为false;在利用Intent获取附加数据时,利用try catch进行非常捕获和处理,防止抛出非常引发崩溃。
其它
Content Provider组件导出风险
中危
导出的Content Provider组件可以被第三方app任意调用,导致敏感信息透露,并可能受到目录遍历、SQL注入等攻击风险
如果运用的Content Provider组件不必要导出,建议显式设置组件的“android:exported”属性为false;如果必须要有数据供应给外部运用利用,建议对组件进行权限掌握。