第一篇:告知書網站漏洞危害及整改建議
附件2: 網站漏洞危害及整改建議
1.網站木馬 1.1 危害
利用IE瀏覽器漏洞,讓IE在后臺自動下載黑客放置在網站上的木馬并運行(安裝)這個木馬,即這個網頁能下載木馬到本地并運行(安裝)下載到本地電腦上的木馬,整個過程都在后臺運行,用戶一旦打開這個網頁,下載過程和運行(安裝)過程就自動開始,從而實現控制訪問者電腦或安裝惡意軟件的目的。
1.2 利用方式
表面上偽裝成普通的網頁文件或是將惡意的代碼直接插入到正常的網頁文件中,當有人訪問時,網頁木馬就會利用對方系統或者瀏覽器的漏洞自動將配置好的木馬的服務端下載到訪問者的電腦上來自動執行。可被木馬植入的網頁也意味著能被篡改頁面內容。
1.3 整改建議
1)加強網站程序安全檢測,及時修補網站漏洞; 2)對網站代碼進行一次全面檢測,查看是否有其余惡意程序存在;
3)建議重新安裝服務器及程序源碼,防止有深度隱藏的惡意程序無法檢測到,導致重新安裝系統后攻擊者仍可利用后門進入;
4)如有條件,建議部署網站防篡改設備。2.網站暗鏈
2.1 危害
網站被惡意攻擊者插入大量暗鏈,將會被搜索引擎懲罰,降低權重值;被插入大量惡意鏈接將會對網站訪問者造成不良影響;將會協助惡意網站(可能為釣魚網站、反動網站、賭博網站等)提高搜索引擎網站排名。可被插入暗鏈的網頁也意味著能被篡改頁面內容。
2.2 利用方式
“暗鏈”就是看不見的網站鏈接,“暗鏈”在網站中的鏈接做的非常隱蔽,可能訪問者并不能一眼就能識別出被掛的隱藏鏈接。它和友情鏈接有相似之處,可以有效地提高PR值,所以往往被惡意攻擊者利用。
2.3 整改建議
1)加強網站程序安全檢測,及時修補網站漏洞; 2)對網站代碼進行一次全面檢測,查看是否有其余惡意程序存在;
3)建議重新安裝服務器及程序源碼,防止無法到檢測深度隱藏的惡意程序,導致重新安裝系統后攻擊者仍可利用后門進入;
4)如有條件,建議部署網站防篡改設備。3.頁面篡改
3.1 危害
政府門戶網站一旦被篡改將造成多種嚴重的后果,主要表現在以下一些方面:
1)政府形象受損; 2)影響信息發布和傳播;
3)惡意發布有害違法信息及言論;
4)木馬病毒傳播,引發系統崩潰、數據損壞等;
5)造成泄密事件。
3.2 利用方式
惡意攻擊者得到網站權限篡改網站頁面內容,一般多為網站首頁,或者得到域名控制權限后通過修改域名A記錄,域名劫持也可達到頁面篡改的目的。
3.3 整改建議
1)加強網站程序安全檢測,及時修補網站漏洞; 2)對網站代碼進行一次全面檢測,查看是否有其余惡意程序存在;
3)建議重新安裝服務器及程序源碼,防止無法檢測到深度隱藏的惡意程序,導致重新安裝系統后攻擊者仍可利用后門進入;
4)如有條件,建議部署網站防篡改設備。4.SQL注入 4.1 危害
這些危害包括但不局限于:
1)數據庫信息泄漏:數據庫中存放的用戶的隱私信息的泄露;
2)網頁篡改:通過操作數據庫對特定網頁進行篡改; 3)網站被掛馬,傳播惡意軟件:修改數據庫一些字段的值,嵌入網馬鏈接,進行掛馬攻擊;
4)數據庫被惡意操作:數據庫服務器被攻擊,數據庫的系統管理員帳戶被篡改;
5)服務器被遠程控制安裝后門,經由數據庫服務器提供的操作系統支持,讓黑客得以修改或控制操作系統;
6)破壞硬盤數據,癱瘓全系統;
一些類型的數據庫系統能夠讓SQL指令操作文件系統,這使得SQL注入的危害被進一步放大。
4.2 利用方式
由于程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。攻擊者可以提交一段數據庫查詢代碼,根據程序返回的結果,獲得某些攻擊者想得知的數據,甚至獲得管理權限。
4.3 整改建議
1)修改網站源代碼,對用戶交互頁面提交數據進行過濾,防止SQL注入漏洞產生;
2)對網站代碼進行一次全面檢測,查看是否有惡意程序存在;
3)建議重新安裝服務器及程序源碼,防止無法檢測到深度隱藏的惡意程序,導致重新安裝系統后攻擊者仍可利用后門進入;
4)如有條件,建議部署WEB應用防火墻等相關設備。5.后臺管理 5.1 危害
站點信息的更新通常通過后臺管理來實現,web應用程序開發者或者站點維護者可能使用常用的后臺地址名稱來管理,比如admin、manager等。攻擊者可能通過使用上述常用地址嘗試訪問目標站點,獲取站點的后臺管理地址,從而可以達到暴力破解后臺登錄用戶口令的目的。攻擊者進入后臺管理系統后可以直接對網站內容進行增加、篡改或刪除。
5.2 利用方式
通過使用常用的管理后臺地址嘗試訪問目標站點,獲取站點的后臺管理地址,使用字典暴力猜解網站后臺地址。如后臺管理的口令較弱則可能被猜解而進入管理界面,如管理登入存在注入漏洞則可能驗證被繞過而直接進入管理界面。
5.3 整改建議
1)為后臺管理系統設置復雜訪問路徑,防止被攻擊者輕易找到;
2)增加驗證碼后臺登錄身份驗證措施,防止攻擊者對后臺登錄系統實施自動暴力攻擊;
3)修改網站源代碼,對用戶提交數據進行格式進行限制,防止因注入漏洞等問題導致后臺驗證繞過問題;
4)加強口令管理,從管理和技術上限定口令復雜度及長度。.攻擊痕跡
6.1 危害
網站常見的攻擊痕跡:惡意腳本痕跡、異常文件提交痕跡、異常賬號建立痕跡、異常網絡連接等,一旦發現網站存在攻擊痕跡,說明網站已經或曾經被入侵過。
6.2 整改建議
1)加強網站程序安全檢測,及時修補網站漏洞; 2)對網站代碼進行一次全面檢測,及時發現網站代碼中存在的問題,查看是否有惡意程序存在;
3)建議重新安裝服務器及程序源碼,防止無法檢測到深度隱藏的惡意程序,導致重新安裝系統后攻擊者仍可利用后門進入。
7.跨站腳本
7.1 危害
1)釣魚欺騙:最典型的就是利用目標網站的反射型跨站腳本漏洞將目標網站重定向到釣魚網站,或者注入釣魚JavaScript以監控目標網站的表單輸入,甚至發起基于DHTML更高級的釣魚攻擊方式。
2)網站掛馬:跨站時利用IFrame嵌入隱藏的惡意網站或者將被攻擊者定向到惡意網站上,或者彈出惡意網站窗口等方式都可以進行掛馬攻擊。
3)身份盜用:Cookie是用戶對于特定網站的身份驗證標志,XSS可以盜取到用戶的Cookie,從而利用該Cookie盜取用戶對該網站的操作權限。如果一個網站管理員用戶Cookie被竊取,將會對網站引發嚴重危害。
4)盜取網站用戶信息:當能夠竊取到用戶Cookie從而獲取到用戶身份使,攻擊者可以獲取到用戶對網站的操作權限,從而查看用戶隱私信息。5)垃圾信息發送:如在SNS社區中,利用XSS漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目標群。
6)劫持用戶Web行為:一些高級的XSS攻擊甚至可以劫持用戶的Web行為,監視用戶的瀏覽歷史,發送與接收的數據等等。
7)XSS蠕蟲:XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS攻擊等。
7.2 利用方式
XSS攻擊使用到的技術主要為HTML和Javascript,也包括VBScript和ActionScript等。XSS攻擊對WEB服務器雖無直接危害,但是它借助網站進行傳播,使網站的使用用戶受到攻擊,導致網站用戶帳號被竊取,從而對網站產生較嚴重的危害。
7.3 整改建議
1)修改網站源代碼,對用戶交互頁面提交數據進行過濾,防止SQL注入漏洞產生;
2)對網站代碼進行一次全面檢測,查看是否有惡意程序存在;
3)建議重新安裝服務器及程序源碼,防止無法檢測到深度隱藏的惡意程序,導致重新安裝系統后攻擊者仍可利用后門進入;
4)如有條件,建議部署WEB應用防火墻等相關設備。8.文件包含
8.1 危害 由于開發人員編寫源碼,開發者將可重復使用的代碼插入到單個的文件中,并在需要的時候將它們包含在特殊的功能代碼文件中,然后包含文件中的代碼會被解釋執行。由于并沒有針對代碼中存在文件包含的函數入口做過濾,導致客戶端可以提交惡意構造語句,并交由服務器端解釋執行。
8.2 利用方式
文件包含漏洞,如果允許客戶端用戶輸入控制動態包含在服務器端的文件,會導致惡意代碼的執行及敏感信息泄露,主要包括本地文件包含和遠程文件包含兩種形式。
8.3 整改建議
修改程序源代碼,禁止服務器端通過動態包含文件方式的文件鏈接。
9.目錄遍歷 9.1 危害
程序中如果不能正確地過濾客戶端提交的../和./之類的目錄跳轉符,惡意者就可以通過上述符號跳轉來訪問服務器上的特定的目錄或文件。
9.2 利用方式
提交../和./之類的目錄跳轉符,惡意者就可以通過上述符號跳轉來訪問服務器上的特定的目錄或文件。
9.3 整改建議
加強網站訪問權限控制,禁止網站目錄的用戶瀏覽權限。
10.危險端口
10.1 危害
開放危險端口(數據庫、遠程桌面、telnet等),可被攻擊者嘗試弱口令登錄或暴力猜解登錄口令,或利用開放的端口進行DDOS拒絕服務攻擊。
10.2 利用方式
弱口令嘗試和暴力猜解。10.3 整改建議
加強網站服務器的端口訪問控制,禁止非必要端口對外開放。例如數據庫連接端口1433、1521、3306等;謹慎開放遠程管理端口3389、23、22、21等,如有遠程管理需要,建議對端口進行更改或者管理IP進行限制。
11.信息泄露 11.1 危害
目標網站WEB程序和服務器未屏蔽錯誤信息,未做有效權限控制,可能導致泄漏敏感信息,惡意攻擊者利用這些信息進行進一步滲透測試。
11.2 利用方式
信息泄漏的利用方式包括但不限于以下攻擊方式: 1)phpinfo信息泄漏; 2)測試頁面泄漏在外網; 3)備份文件泄漏在外網; 4)版本管理工具文件信息泄漏; 5)HTTP認證泄漏;
6)泄漏員工電子郵箱漏洞以及分機號碼;
7)錯誤詳情泄漏;
8)網站真實存放路徑泄漏。11.3 整改建議
1)加強網站服務器配置,對默認錯誤信息進行修改,避免因客戶端提交的非法請求導致服務器返回敏感信息。
2)盡量不在網站目錄下存放備份、測試等可能泄露網站內容的文件。
12.中間件
12.1 危害
WEB應用程序的搭建環境會利用到中間件,如:IIS、apache、weblogic等,而這些中間件軟件都存在一些漏洞,如:拒絕服務漏洞,代碼執行漏洞、跨站腳本漏洞等。惡意攻擊者利用中間件的漏洞可快速成功攻擊目標網站。
12.2 利用方式
判斷中間件版本,利用已公布的漏洞exp進行攻擊,或挖掘識別出的版本所存在的安全漏洞。
12.3 整改建議
加強網站web服務器、中間件配置,及時更新中間件安全補丁,尤其注意中間件管理平臺的口令強度。
13.第三方插件 13.1 危害
WEB應用程序很多依靠其他第三方插件搭配,如編輯器、網站框架,這些第三方插件也會存在一些漏洞,若未做安全配置,使用默認安裝也會產生一些安全隱患,導致攻擊者可以任意新增、讀取、修改或刪除應用程序中的資料,最壞的情況是造成攻擊者能夠完全獲取整個網站和數據庫的控制權限,包括修改刪除網站頁面、竊取數據庫敏感信息,甚至以網站為跳板,獲取整個內網服務器控制權限。
13.2 利用方式
識別當前網站程序所涉及的第三方插件,針對第三方插件進行漏洞攻擊
13.3 整改建議
一些不安全的第三方插件,可能存在眾多已知或未知漏洞,攻擊者利用這些第三方插件漏洞,可能獲取網站文件、控制服務器。如果網站需要引入第三方插件,建議上線前進行安全檢測或加固,盡量不要采用一些存在問題較多的中間件,例如fckeditor等。
14.文件上傳 14.1 危害
由于文件上傳功能實現代碼沒有嚴格限制用戶上傳的文件后綴以及文件類型,導致允許攻擊者向某個可通過 Web 訪問的目錄上傳任意后綴文件,并能將這些文件傳遞給腳本解釋器,就可以在遠程服務器上執行任意腳本或惡意代碼。
14.2 利用方式
直接上傳可被執行的腳本文件,繞過文件限制上傳可被執行的腳本文件。
14.3 整改建議
對網站所有上傳接口在服務器端進行嚴格的類型、大小
等控制,防止攻擊者利用上傳接口上傳惡意程序。
15.配置文件 15.1 危害
未做嚴格的權限控制,惡意攻擊者可直接訪問配置文件,將會泄漏配置文件內的敏感信息。
15.2 利用方式
嘗試訪問常見配置文件路徑,查看是否泄漏敏感信息。15.3 整改建議
加強對網站常見默認配置文件比如數據庫連接文件、備份數據庫等文件的管理,避免使用默認配置路徑及默認格式存放,防止攻擊者針對網站類型直接獲取默認配置文件。
16.冗余文件 16.1 危害
未做嚴格的權限控制,如備份信息或臨時文件等冗余文件將會泄漏敏感信息。
16.2 利用方式
利用字典嘗試冗余文件是否存在,并且判斷是否存在可利用的敏感信息。
16.3 整改建議
1)注意對網站所有目錄中文件進行監控,避免將網站打包備份文件、數據庫備份文件等直接存放在網站目錄下;
2)定期對網站目錄中文件進行比對,及時發現并清除被插入頁面或上傳的惡意程序。
17.系統漏洞
17.1 危害
系統漏洞問題是與時間緊密相關的。一個系統從發布的那一天起,隨著用戶的深入使用,系統中存在的漏洞會被不斷暴露出來。如果系統中存在安全漏洞沒有及時修復,并且計算機內沒有防病毒軟件等安全防護措施,很有可能會被病毒、木馬所利用,輕則使計算機操作系統某些功能不能正常使用,重則會使用戶賬號密碼丟失、系統破壞等。
17.2 利用方式
通過漏洞掃描軟件獲取當前系統存在的漏洞信息,進行利用。
17.3 整改建議
1)及時更新網站服務器、中間件、網站應用程序等發布的安全漏洞補丁或安全增強措施;
2)如果因特殊情況不宜升級補丁,則應該根據漏洞情況使用一些第三方的安全防護措施防止漏洞被利用;
3)如有條件,建議經常對網站進行系統層漏洞檢測。
第二篇:網站漏洞整改報告
網站安全整改報告
收到教育局中心機房發來的網站安全漏洞檢測報告,對被檢測的域名地址進行確認,我校主要近階段處在新舊網站交替時期,舊網站還沒有退役,新網站也已上線。被檢測的存在漏洞的地址為我校原網站域名地址。我校安全領導小組馬上召開了緊急會議。經會議商討決定,作出以下幾點整改措失:
1.關閉舊網站;
2.加固原網站服務器及其他內部服務器,對服務器進進漏洞掃瞄,系統漏洞修補完畢;
3.對于新網站,此次雖然未進行檢測,但從兄弟學校的網站檢測報告來看(同開發單位),應該存在漏洞。會后馬上聯系開發單位進行檢測整改。
反思及下一步工作
(一)反思
1.網站開發時,只考慮了網站的功能使用,沒有考慮網站安全問題。
2.學校自己技術力量薄弱,對安全檢測有一定難度。
(二)下一步工作
1. 加強對服務器安全的管理,每月使用掃描工具對所有服務器進行日常掃描監控,并安裝好補丁。
2015/12/05
第三篇:網站漏洞整改報告
安全整改報告
整改情況
1.相關單位收到加固通知后,對IP地址進行確認,存在漏洞的地址均為集團客戶MAS機服務器地址。
2.相關單位維護人員到集團客戶現場對所有MAS設備進行了檢查并對相應的設備安裝了Apache Struts漏洞補丁,并將整改結果反饋至省公司。
3.經驗證,所有MAS設備已完成加固,漏洞修補完畢。
三、反思及下一步工作
(一)反思
1.業務系統上線前,并沒有做到有效地安全加固工作。2.集團客戶安全意識薄弱,MAS機加固工作存在一定難度。
(二)下一步工作
1. 加強對MAS服務器安全的管理,每月使用掃描工具對所有MAS進行日常掃描監控,同時對新增MAS服務器做好檢查并安裝好補丁。
2.對于新增MAS,做好完整的安全加固工作。后續每月對每一臺服務器做好檢查并安裝好補丁,把安全問題降到最低。
第四篇:職業危害告知書
興仁縣黔山煤礦職業危害因素告知書
根據《中華人民共和國職業病防治法》第三十條的規定,現將工作過程中可能產生的職業病危害及其后果、職業病防護措施和待遇等如實告知您并請您簽署,在勞動合同期間,您的工作崗位發生變更并且變更崗位存在職業危害因素時,將重新告知并請您簽署。
您所在區域的崗位,存在職業病危害因素。如防護不當,該職業危害因素可能對您的身體造成一定程度的損害。在本崗位,公司已按照國家有關規定,對職業危害因素采取了職業病防護措施,并對您發放合適的個人防護用品。
根據《中華人民共和國職業病防治法》第三十一條的規定,公司將對您進行崗前和在崗期間的職業安全衛生培訓,指導您正確使用相關的職業病防護設備和個人職業病防護用品。
根據《中華人民共和國職業病防治法》第三十二條的規定,公司應當安排您進行上崗前、在崗期間和離崗時的職業健康檢查,并將檢查結果如實告知您。您有義務按照公司的要求參加上崗前、在崗期間和離崗時的職業健康檢查。職業健康檢查費用由公司承擔。
根據《中華人民共和國職業病防治法》第五十一條的規定,一旦您患上職業病,公司將按照《工傷保險條例》的相關規定執行。
根據《中華人民共和國職業病防治法》的規定,您有義務履行以下規定:
1.自覺遵守用人單位制定的本崗位職業衛生操作規程和制度。
2.正確使用職業病防護設備和個人職業病防護用品。
3.積極參加職業衛生知識培訓。
4.定期參加職業病健康體檢。
5.發現職業病危害隱患事故應當及時報告用人單位。
6.樹立自我保護意識,積極配合用人單位,避免職業病的發生。
7.離職時,應當按照公司的規定參加離職時的職業健康體檢。
若因您不恰當履行如上規定的義務導致本人或者他人的損害并進而導致公司承擔任何支付補償責任的,公司將有權按該費用的2倍追究您的個人責任。
本人已知道以上法規和企業制度的相關規定,并知道了職業病危害的相關因素,特此確認。
勞動者簽名:
年月日
第五篇:職業危害告知書
職業危害告知書
勞動合同職業危害因素告知
________先生/女士:
________________公司主要是以生產xx業務為主的作業工廠,在生產過程中有可能 產生的職業危害。依照職業病防治法的有關規定,公司已采取有效的職業衛生防護管理措施,根據崗位配備個人防護用品,并專門設有環境、健康、安全部門(EHS)。此外,每位員工入職前必須要進行安全培訓,從業后要定期進行職業病體檢。同時公司配有專業人員,持續監控作業場所的有害物質對員工健康的威脅性,制定預防措施。
根據《中華人民共和國職業病防治法》的規定,我公司將您在工作過程中可能涉及的職業病危害及其后果、職業病防護措施和待遇等如實告知如下。
您所在的_______車間_________崗位,存在________職業病危害因素。如果防護不當,該職業病危害因素可能對您造成損害。
您的入職前體檢結果是基本正常,目前無職業禁忌癥。
在本崗位,公司將按照伊頓及國家有關規定,對職業病危害因素采取必要的職業病防護措施,并對您發放個人防護用品________、___________、______________。您必須按照公司有關規定作好個人防護。
您有義務履行以下規定:自覺遵守用人單位制定的本崗位職業衛生操作規程和制度;正確使用職業病防護設備和個人職業病防護用品;積極參加職業衛生知識培訓;定期參加職業病健康體檢;發現職業病危害隱患事故應當及時報告用人單位;樹立自我保護意識,積極配合用人單位,避免職業病的發生;離職時,應該按照公司的規定參加離職時的職業健康體檢。
若違反或不恰當履行前款規定,公司有權根據公司相關規定進行處罰以至解除勞動合同
如果發現員工身體情況因工作原因有變化趨勢或職業禁忌癥,公司將安排予以調整工作崗位。一旦發生職業病,公司將按照國家有關法律、法規,為您提供相應待遇。
公司規定員工離職時須參加離崗體檢,如擅自離開公司無視公司規定,所發生的一 切后果自負,公司自通知本人后逾期二十天者屬于自動放棄。
在勞動合同期間,您的工作崗位發生變更并且變更的崗位存在職業病危害因素時,公司將重新告知并請您簽署。
基于上述幾點,如果你本人已獲悉工作崗位職業病危害因素及個人的身體狀況,了解并遵從公司作業規程和安全防護要求(員工簽字確認)
用人單位蓋章本人簽字(確認收到并同意)
年月日年月日
點擊咨詢 