第一篇:網(wǎng)站漏洞整改報(bào)告
網(wǎng)站安全整改報(bào)告
收到教育局中心機(jī)房發(fā)來的網(wǎng)站安全漏洞檢測報(bào)告,對被檢測的域名地址進(jìn)行確認(rèn),我校主要近階段處在新舊網(wǎng)站交替時(shí)期,舊網(wǎng)站還沒有退役,新網(wǎng)站也已上線。被檢測的存在漏洞的地址為我校原網(wǎng)站域名地址。我校安全領(lǐng)導(dǎo)小組馬上召開了緊急會(huì)議。經(jīng)會(huì)議商討決定,作出以下幾點(diǎn)整改措失:
1.關(guān)閉舊網(wǎng)站;
2.加固原網(wǎng)站服務(wù)器及其他內(nèi)部服務(wù)器,對服務(wù)器進(jìn)進(jìn)漏洞掃瞄,系統(tǒng)漏洞修補(bǔ)完畢;
3.對于新網(wǎng)站,此次雖然未進(jìn)行檢測,但從兄弟學(xué)校的網(wǎng)站檢測報(bào)告來看(同開發(fā)單位),應(yīng)該存在漏洞。會(huì)后馬上聯(lián)系開發(fā)單位進(jìn)行檢測整改。
反思及下一步工作
(一)反思
1.網(wǎng)站開發(fā)時(shí),只考慮了網(wǎng)站的功能使用,沒有考慮網(wǎng)站安全問題。
2.學(xué)校自己技術(shù)力量薄弱,對安全檢測有一定難度。
(二)下一步工作
1. 加強(qiáng)對服務(wù)器安全的管理,每月使用掃描工具對所有服務(wù)器進(jìn)行日常掃描監(jiān)控,并安裝好補(bǔ)丁。
2015/12/05
第二篇:網(wǎng)站漏洞整改報(bào)告
安全整改報(bào)告
整改情況
1.相關(guān)單位收到加固通知后,對IP地址進(jìn)行確認(rèn),存在漏洞的地址均為集團(tuán)客戶MAS機(jī)服務(wù)器地址。
2.相關(guān)單位維護(hù)人員到集團(tuán)客戶現(xiàn)場對所有MAS設(shè)備進(jìn)行了檢查并對相應(yīng)的設(shè)備安裝了Apache Struts漏洞補(bǔ)丁,并將整改結(jié)果反饋至省公司。
3.經(jīng)驗(yàn)證,所有MAS設(shè)備已完成加固,漏洞修補(bǔ)完畢。
三、反思及下一步工作
(一)反思
1.業(yè)務(wù)系統(tǒng)上線前,并沒有做到有效地安全加固工作。2.集團(tuán)客戶安全意識(shí)薄弱,MAS機(jī)加固工作存在一定難度。
(二)下一步工作
1. 加強(qiáng)對MAS服務(wù)器安全的管理,每月使用掃描工具對所有MAS進(jìn)行日常掃描監(jiān)控,同時(shí)對新增MAS服務(wù)器做好檢查并安裝好補(bǔ)丁。
2.對于新增MAS,做好完整的安全加固工作。后續(xù)每月對每一臺(tái)服務(wù)器做好檢查并安裝好補(bǔ)丁,把安全問題降到最低。
第三篇:網(wǎng)站漏洞整改報(bào)告
安全整改報(bào)告
整改情況 1.相關(guān)單位收到加固通知后,對ip地址進(jìn)行確認(rèn),存在漏洞的地址均為集團(tuán)客戶mas機(jī)服務(wù)器地址。2.相關(guān)單位維護(hù)人員到集團(tuán)客戶現(xiàn)場對所有mas設(shè)備進(jìn)行了檢查并對相應(yīng)的設(shè)備安裝了apache struts漏洞補(bǔ)丁,并將整改結(jié)果反饋至省公司。3.經(jīng)驗(yàn)證,所有mas設(shè)備已完成加固,漏洞修補(bǔ)完畢。
三、反思及下一步工作
(一)反思
1.業(yè)務(wù)系統(tǒng)上線前,并沒有做到有效地安全加固工作。2.集團(tuán)客戶安全意識(shí)薄弱,mas機(jī)加固工作存在一定難度。
(二)下一步工作 1. 加強(qiáng)對mas服務(wù)器安全的管理,每月使用掃描工具對所有mas進(jìn)行日常掃描監(jiān)控,同時(shí)對新增mas服務(wù)器做好檢查并安裝好補(bǔ)丁。2.對于新增mas,做好完整的安全加固工作。后續(xù)每月對每一臺(tái)服務(wù)器做好檢查并安裝好補(bǔ)丁,把安全問題降到最低。篇二:網(wǎng)站漏洞整改報(bào)告
網(wǎng)站漏洞整改報(bào)告
按照國家《中華人民共和國計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國際聯(lián)網(wǎng)安全保護(hù)管理辦法》、《互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定》等有關(guān)法律法規(guī)規(guī)定,全面落實(shí)互聯(lián)網(wǎng)安全保護(hù)制度和安全保護(hù)技術(shù)措施,對網(wǎng)站、信息安全進(jìn)行了嚴(yán)格漏洞安全檢查工作。
本次網(wǎng)站安全檢查是完全站在攻擊者角度,模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)進(jìn)行的安全性測試,通過結(jié)合多方面的攻擊技術(shù)進(jìn)行測試,發(fā)現(xiàn)本校個(gè)別網(wǎng)站系統(tǒng)存在比較明顯的可利用的安全漏洞,針對已存在漏洞的系統(tǒng)需要進(jìn)行重點(diǎn)加固。本次檢查結(jié)果和處理方案如下: 篇三:網(wǎng)站漏洞整改報(bào)告
網(wǎng)站安全整改報(bào)告
收到教育局中心機(jī)房發(fā)來的網(wǎng)站安全漏洞檢測報(bào)告,對被檢測的域名地址進(jìn)行確認(rèn),我校主要近階段處在新舊網(wǎng)站交替時(shí)期,舊網(wǎng)站還沒有退役,新網(wǎng)站也已上線。被檢測的存在漏洞的地址為我校原網(wǎng)站域名地址。我校安全領(lǐng)導(dǎo)小組馬上召開了緊急會(huì)議。經(jīng)會(huì)議商討決定,作出以下幾點(diǎn)整改措失: 1.關(guān)閉舊網(wǎng)站;
2.加固原網(wǎng)站服務(wù)器及其他內(nèi)部服務(wù)器,對服務(wù)器進(jìn)進(jìn)漏洞掃瞄,系統(tǒng)漏洞修補(bǔ)完畢; 3.對于新網(wǎng)站,此次雖然未進(jìn)行檢測,但從兄弟學(xué)校的網(wǎng)站檢測報(bào)告來看(同開發(fā)單位),應(yīng)該存在漏洞。會(huì)后馬上聯(lián)系開發(fā)單位進(jìn)行檢測整改。
反思及下一步工作
(一)反思
1.網(wǎng)站開發(fā)時(shí),只考慮了網(wǎng)站的功能使用,沒有考慮網(wǎng)站安全問題。2.學(xué)校自己技術(shù)力量薄弱,對安全檢測有一定難度。
(二)下一步工作 1. 加強(qiáng)對服務(wù)器安全的管理,每月使用掃描工具對所有服務(wù)器進(jìn)行日常掃描監(jiān)控,并安裝好補(bǔ)丁。2015/12/05 1篇四:網(wǎng)站安全隱患整改報(bào)告 xxx網(wǎng)站安全隱患整改報(bào)告 xxx市公安局xxx分局:
自2015年6月11日接到xxx市公安局xxx分局下發(fā)的《政府網(wǎng)站安全隱患告知書》后,我公司技術(shù)部組織人力,針對檢查后發(fā)現(xiàn)的問題,迅速修補(bǔ)安全漏洞,并對所屬網(wǎng)站進(jìn)行徹底檢查,進(jìn)一步完善安全防范措施,提高網(wǎng)絡(luò)安全防范意識(shí),有效增強(qiáng)了xxxxxx網(wǎng)站對有害信息的防范能力和防泄密水平。現(xiàn)將整改情況告知如下:
一、完成問題整改 針對通知附件的檢測結(jié)果,我公司網(wǎng)站在防sql注入等方面存在一些問題。針對以上問題,我公司技術(shù)部組織大量技術(shù)人員,檢測了整個(gè)網(wǎng)站的防注入隱患,制訂了新的地址過濾算法,完成了完成了網(wǎng)頁地址過濾等工作。
二、進(jìn)一步提高網(wǎng)絡(luò)與信息安全工作水平
一是加強(qiáng)理論知識(shí)學(xué)習(xí)。建立學(xué)習(xí)制度,每半個(gè)月組織部門工作人員及專業(yè)技術(shù)人員,學(xué)習(xí)網(wǎng)絡(luò)安全知識(shí)及網(wǎng)絡(luò)信息保密的相關(guān)法律法規(guī)。通過學(xué)習(xí),全面提高工作人員網(wǎng)絡(luò)安全知識(shí)水平,尤其是在網(wǎng)絡(luò)新病毒、網(wǎng)站新漏洞等網(wǎng)絡(luò)安全技術(shù)方面,做到及時(shí)溝通、信息共享。
二是加強(qiáng)網(wǎng)絡(luò)與信息安全管理。通過“責(zé)任落實(shí)到人,工作落實(shí)到紙”的方法,全面加強(qiáng)網(wǎng)絡(luò)與信息安全管理工作。我們設(shè)立了網(wǎng)站服務(wù)器安全員、機(jī)房管理員、網(wǎng)站檢測員、網(wǎng)站后臺(tái)技術(shù)員等,把責(zé)任具體到人,同時(shí)要求,各責(zé)任崗位要隨時(shí)做好工作記錄,各項(xiàng)工作最終落實(shí)到紙面。通過以上工作,我公司網(wǎng)站網(wǎng)絡(luò)信息安全管理水平得到整體提高。
三是建立健全信息網(wǎng)絡(luò)安全制度。在工作中,進(jìn)一步細(xì)化工作程序,建立各項(xiàng)工作制度。完善了服務(wù)器數(shù)據(jù)定期備份制度、網(wǎng)絡(luò)信息發(fā)布簽審制度等。通過完善各類制度,使網(wǎng)絡(luò)安全信息工作有章可循,為做好xxxxxx網(wǎng)站信息網(wǎng)絡(luò)安全工作,奠定了堅(jiān)實(shí)的基礎(chǔ)。
在今后的工作中,我們將進(jìn)一步加強(qiáng)學(xué)習(xí),嚴(yán)格管理,完善制度,努力提升xxxxxx網(wǎng)站信息網(wǎng)絡(luò)安全工作水平。2015年6月12日篇五:南寧四十二中網(wǎng)站整改報(bào)告
南寧市第四十二中學(xué)關(guān)于2014年
網(wǎng)站與信息安全檢查整改報(bào)告 南寧市網(wǎng)絡(luò)與信息安全信息通報(bào)中心: 3月6日貴單位對我校網(wǎng)站進(jìn)行信息安全保障工作進(jìn)行監(jiān)督檢查后,發(fā)現(xiàn)我校網(wǎng)站存在信息安全漏洞。按照貴校要求,我校派遣專人到貴校領(lǐng)取了《南寧市第四十二中學(xué)網(wǎng)站檢測報(bào)告》,并對照相關(guān)要求,針對我校網(wǎng)站認(rèn)真組織開展了自查整改。現(xiàn)將自查整改情況報(bào)告如下:
一、網(wǎng)站信息安全狀況總體評價(jià)
我校在檢查結(jié)果的基礎(chǔ)上,認(rèn)真進(jìn)行整改,信息安全工作取得了新的進(jìn)展,一是在制度上更加健全;二是在人員落實(shí)上更加明確;三是在保密意識(shí)有所提高。
二、信息安全主要整改情況
(一)信息安全組織管理
成立了信息系統(tǒng)安全工作領(lǐng)導(dǎo)小組。明確了信息系統(tǒng)安全工作的責(zé)任領(lǐng)導(dǎo)和具體管護(hù)人員。按照信息安全工作要求上制定了信息安全工作計(jì)劃或工作方案。建立了信息安全責(zé)任制。按責(zé)任規(guī)定:信息安全工作領(lǐng)導(dǎo)小組對信息安全負(fù)首責(zé),主管領(lǐng)導(dǎo)負(fù)總責(zé),具體管理人負(fù)主責(zé),并在單位組織開展信息安全教育培訓(xùn)。
(二)日常信息安全管理
嚴(yán)格落實(shí)崗位責(zé)任制和保密責(zé)任制,托管網(wǎng)站的服務(wù)器
安裝必要的辦公軟件和應(yīng)用軟件外,不安裝與工作無關(guān)的軟件;定期維護(hù)服務(wù)器。
(三)信息安全防護(hù)管理 1.網(wǎng)絡(luò)邊界防護(hù)管理。
關(guān)閉不必要的應(yīng)用、服務(wù)、端口;定期更新賬戶口令;定期清理病毒木馬,使用安全站長聯(lián)盟平臺(tái)、百度云加速樂防護(hù)檢測、360網(wǎng)站安全技術(shù)工具定期進(jìn)行漏洞掃描、病毒木馬檢測,并根據(jù)相應(yīng)的提示進(jìn)行修復(fù),查殺木馬,添置天融信硬件防火墻,并進(jìn)行有效配置設(shè)備安全策略;使用安全設(shè)備防病毒、防火墻、入侵檢測。2.門戶網(wǎng)站安全管理。
管理系統(tǒng)管理賬戶和口令,清理無關(guān)賬戶,防止出現(xiàn)空口令、弱口令和默認(rèn)口令;關(guān)閉不必要的端口,停止不必要的服務(wù)和應(yīng)用,刪除不必要的鏈接和插件;刪除臨時(shí)文件,防止敏感信息泄露;建立信息發(fā)布審核制度;使用技術(shù)工具定期進(jìn)行漏洞掃描、木馬檢測。3.移動(dòng)存儲(chǔ)設(shè)備安全管理。
托管網(wǎng)站的服務(wù)器不允許使用移動(dòng)存儲(chǔ)設(shè)備。
(四)信息安全應(yīng)急管理
制定信息安全應(yīng)急預(yù)案并進(jìn)行演練培訓(xùn)。明確了應(yīng)急技術(shù)支援隊(duì)伍。重要數(shù)據(jù)和重要信息系統(tǒng)備份。
三、整改后取得的成效
我校領(lǐng)導(dǎo)高度重視,把信息安全檢查工作列入了重要議事日程,并及時(shí)成立了信息安全工作領(lǐng)導(dǎo)小組,明確了檢查責(zé)任人,組織制定了檢查工作計(jì)劃和檢查方案,對檢查工作進(jìn)行了安排部署,確保了檢查工作的順利進(jìn)行。
整改之后我校信息系統(tǒng)得到了更好的維護(hù),經(jīng)過整改,目前經(jīng)安全站長聯(lián)盟平臺(tái)、百度云加速樂防護(hù)檢測、360網(wǎng)站安全技術(shù)工具多款工具檢測,均未發(fā)現(xiàn)相關(guān)危險(xiǎn)漏洞,木馬等。
嚴(yán)格按照相關(guān)監(jiān)管部門的要求,積極完善各項(xiàng)安全制度、充分加強(qiáng)信息化安全工作人員教育培訓(xùn)、全面落實(shí)安全防范措施、全力保障信息安全工作經(jīng)費(fèi),信息安全風(fēng)險(xiǎn)得到有效降低,應(yīng)急處置能力得到切實(shí)提高,保證了我校網(wǎng)站持續(xù)安全穩(wěn)定運(yùn)行。
第四篇:漏洞整改報(bào)告IDC-ISP
漏洞整改報(bào)告
1.漏洞信息
Apache Struts2遠(yuǎn)程命令執(zhí)行漏洞,可以遠(yuǎn)程執(zhí)行命令,獲取敏感信息。
2.漏洞原因分析
Apache Struts2 版本較低,不是最新版本;
3.漏洞處理過程
升級Apache Struts2為最新版本;
4.下一步工作安排
定期安排漏洞掃描,及時(shí)升級新版本;
第五篇:告知書網(wǎng)站漏洞危害及整改建議
附件2: 網(wǎng)站漏洞危害及整改建議
1.網(wǎng)站木馬 1.1 危害
利用IE瀏覽器漏洞,讓IE在后臺(tái)自動(dòng)下載黑客放置在網(wǎng)站上的木馬并運(yùn)行(安裝)這個(gè)木馬,即這個(gè)網(wǎng)頁能下載木馬到本地并運(yùn)行(安裝)下載到本地電腦上的木馬,整個(gè)過程都在后臺(tái)運(yùn)行,用戶一旦打開這個(gè)網(wǎng)頁,下載過程和運(yùn)行(安裝)過程就自動(dòng)開始,從而實(shí)現(xiàn)控制訪問者電腦或安裝惡意軟件的目的。
1.2 利用方式
表面上偽裝成普通的網(wǎng)頁文件或是將惡意的代碼直接插入到正常的網(wǎng)頁文件中,當(dāng)有人訪問時(shí),網(wǎng)頁木馬就會(huì)利用對方系統(tǒng)或者瀏覽器的漏洞自動(dòng)將配置好的木馬的服務(wù)端下載到訪問者的電腦上來自動(dòng)執(zhí)行。可被木馬植入的網(wǎng)頁也意味著能被篡改頁面內(nèi)容。
1.3 整改建議
1)加強(qiáng)網(wǎng)站程序安全檢測,及時(shí)修補(bǔ)網(wǎng)站漏洞; 2)對網(wǎng)站代碼進(jìn)行一次全面檢測,查看是否有其余惡意程序存在;
3)建議重新安裝服務(wù)器及程序源碼,防止有深度隱藏的惡意程序無法檢測到,導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進(jìn)入;
4)如有條件,建議部署網(wǎng)站防篡改設(shè)備。2.網(wǎng)站暗鏈
2.1 危害
網(wǎng)站被惡意攻擊者插入大量暗鏈,將會(huì)被搜索引擎懲罰,降低權(quán)重值;被插入大量惡意鏈接將會(huì)對網(wǎng)站訪問者造成不良影響;將會(huì)協(xié)助惡意網(wǎng)站(可能為釣魚網(wǎng)站、反動(dòng)網(wǎng)站、賭博網(wǎng)站等)提高搜索引擎網(wǎng)站排名。可被插入暗鏈的網(wǎng)頁也意味著能被篡改頁面內(nèi)容。
2.2 利用方式
“暗鏈”就是看不見的網(wǎng)站鏈接,“暗鏈”在網(wǎng)站中的鏈接做的非常隱蔽,可能訪問者并不能一眼就能識(shí)別出被掛的隱藏鏈接。它和友情鏈接有相似之處,可以有效地提高PR值,所以往往被惡意攻擊者利用。
2.3 整改建議
1)加強(qiáng)網(wǎng)站程序安全檢測,及時(shí)修補(bǔ)網(wǎng)站漏洞; 2)對網(wǎng)站代碼進(jìn)行一次全面檢測,查看是否有其余惡意程序存在;
3)建議重新安裝服務(wù)器及程序源碼,防止無法到檢測深度隱藏的惡意程序,導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進(jìn)入;
4)如有條件,建議部署網(wǎng)站防篡改設(shè)備。3.頁面篡改
3.1 危害
政府門戶網(wǎng)站一旦被篡改將造成多種嚴(yán)重的后果,主要表現(xiàn)在以下一些方面:
1)政府形象受損; 2)影響信息發(fā)布和傳播;
3)惡意發(fā)布有害違法信息及言論;
4)木馬病毒傳播,引發(fā)系統(tǒng)崩潰、數(shù)據(jù)損壞等;
5)造成泄密事件。
3.2 利用方式
惡意攻擊者得到網(wǎng)站權(quán)限篡改網(wǎng)站頁面內(nèi)容,一般多為網(wǎng)站首頁,或者得到域名控制權(quán)限后通過修改域名A記錄,域名劫持也可達(dá)到頁面篡改的目的。
3.3 整改建議
1)加強(qiáng)網(wǎng)站程序安全檢測,及時(shí)修補(bǔ)網(wǎng)站漏洞; 2)對網(wǎng)站代碼進(jìn)行一次全面檢測,查看是否有其余惡意程序存在;
3)建議重新安裝服務(wù)器及程序源碼,防止無法檢測到深度隱藏的惡意程序,導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進(jìn)入;
4)如有條件,建議部署網(wǎng)站防篡改設(shè)備。4.SQL注入 4.1 危害
這些危害包括但不局限于:
1)數(shù)據(jù)庫信息泄漏:數(shù)據(jù)庫中存放的用戶的隱私信息的泄露;
2)網(wǎng)頁篡改:通過操作數(shù)據(jù)庫對特定網(wǎng)頁進(jìn)行篡改; 3)網(wǎng)站被掛馬,傳播惡意軟件:修改數(shù)據(jù)庫一些字段的值,嵌入網(wǎng)馬鏈接,進(jìn)行掛馬攻擊;
4)數(shù)據(jù)庫被惡意操作:數(shù)據(jù)庫服務(wù)器被攻擊,數(shù)據(jù)庫的系統(tǒng)管理員帳戶被篡改;
5)服務(wù)器被遠(yuǎn)程控制安裝后門,經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持,讓黑客得以修改或控制操作系統(tǒng);
6)破壞硬盤數(shù)據(jù),癱瘓全系統(tǒng);
一些類型的數(shù)據(jù)庫系統(tǒng)能夠讓SQL指令操作文件系統(tǒng),這使得SQL注入的危害被進(jìn)一步放大。
4.2 利用方式
由于程序員在編寫代碼的時(shí)候,沒有對用戶輸入數(shù)據(jù)的合法性進(jìn)行判斷,使應(yīng)用程序存在安全隱患。攻擊者可以提交一段數(shù)據(jù)庫查詢代碼,根據(jù)程序返回的結(jié)果,獲得某些攻擊者想得知的數(shù)據(jù),甚至獲得管理權(quán)限。
4.3 整改建議
1)修改網(wǎng)站源代碼,對用戶交互頁面提交數(shù)據(jù)進(jìn)行過濾,防止SQL注入漏洞產(chǎn)生;
2)對網(wǎng)站代碼進(jìn)行一次全面檢測,查看是否有惡意程序存在;
3)建議重新安裝服務(wù)器及程序源碼,防止無法檢測到深度隱藏的惡意程序,導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進(jìn)入;
4)如有條件,建議部署WEB應(yīng)用防火墻等相關(guān)設(shè)備。5.后臺(tái)管理 5.1 危害
站點(diǎn)信息的更新通常通過后臺(tái)管理來實(shí)現(xiàn),web應(yīng)用程序開發(fā)者或者站點(diǎn)維護(hù)者可能使用常用的后臺(tái)地址名稱來管理,比如admin、manager等。攻擊者可能通過使用上述常用地址嘗試訪問目標(biāo)站點(diǎn),獲取站點(diǎn)的后臺(tái)管理地址,從而可以達(dá)到暴力破解后臺(tái)登錄用戶口令的目的。攻擊者進(jìn)入后臺(tái)管理系統(tǒng)后可以直接對網(wǎng)站內(nèi)容進(jìn)行增加、篡改或刪除。
5.2 利用方式
通過使用常用的管理后臺(tái)地址嘗試訪問目標(biāo)站點(diǎn),獲取站點(diǎn)的后臺(tái)管理地址,使用字典暴力猜解網(wǎng)站后臺(tái)地址。如后臺(tái)管理的口令較弱則可能被猜解而進(jìn)入管理界面,如管理登入存在注入漏洞則可能驗(yàn)證被繞過而直接進(jìn)入管理界面。
5.3 整改建議
1)為后臺(tái)管理系統(tǒng)設(shè)置復(fù)雜訪問路徑,防止被攻擊者輕易找到;
2)增加驗(yàn)證碼后臺(tái)登錄身份驗(yàn)證措施,防止攻擊者對后臺(tái)登錄系統(tǒng)實(shí)施自動(dòng)暴力攻擊;
3)修改網(wǎng)站源代碼,對用戶提交數(shù)據(jù)進(jìn)行格式進(jìn)行限制,防止因注入漏洞等問題導(dǎo)致后臺(tái)驗(yàn)證繞過問題;
4)加強(qiáng)口令管理,從管理和技術(shù)上限定口令復(fù)雜度及長度。.攻擊痕跡
6.1 危害
網(wǎng)站常見的攻擊痕跡:惡意腳本痕跡、異常文件提交痕跡、異常賬號(hào)建立痕跡、異常網(wǎng)絡(luò)連接等,一旦發(fā)現(xiàn)網(wǎng)站存在攻擊痕跡,說明網(wǎng)站已經(jīng)或曾經(jīng)被入侵過。
6.2 整改建議
1)加強(qiáng)網(wǎng)站程序安全檢測,及時(shí)修補(bǔ)網(wǎng)站漏洞; 2)對網(wǎng)站代碼進(jìn)行一次全面檢測,及時(shí)發(fā)現(xiàn)網(wǎng)站代碼中存在的問題,查看是否有惡意程序存在;
3)建議重新安裝服務(wù)器及程序源碼,防止無法檢測到深度隱藏的惡意程序,導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進(jìn)入。
7.跨站腳本
7.1 危害
1)釣魚欺騙:最典型的就是利用目標(biāo)網(wǎng)站的反射型跨站腳本漏洞將目標(biāo)網(wǎng)站重定向到釣魚網(wǎng)站,或者注入釣魚JavaScript以監(jiān)控目標(biāo)網(wǎng)站的表單輸入,甚至發(fā)起基于DHTML更高級的釣魚攻擊方式。
2)網(wǎng)站掛馬:跨站時(shí)利用IFrame嵌入隱藏的惡意網(wǎng)站或者將被攻擊者定向到惡意網(wǎng)站上,或者彈出惡意網(wǎng)站窗口等方式都可以進(jìn)行掛馬攻擊。
3)身份盜用:Cookie是用戶對于特定網(wǎng)站的身份驗(yàn)證標(biāo)志,XSS可以盜取到用戶的Cookie,從而利用該Cookie盜取用戶對該網(wǎng)站的操作權(quán)限。如果一個(gè)網(wǎng)站管理員用戶Cookie被竊取,將會(huì)對網(wǎng)站引發(fā)嚴(yán)重危害。
4)盜取網(wǎng)站用戶信息:當(dāng)能夠竊取到用戶Cookie從而獲取到用戶身份使,攻擊者可以獲取到用戶對網(wǎng)站的操作權(quán)限,從而查看用戶隱私信息。5)垃圾信息發(fā)送:如在SNS社區(qū)中,利用XSS漏洞借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標(biāo)群。
6)劫持用戶Web行為:一些高級的XSS攻擊甚至可以劫持用戶的Web行為,監(jiān)視用戶的瀏覽歷史,發(fā)送與接收的數(shù)據(jù)等等。
7)XSS蠕蟲:XSS 蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網(wǎng)上數(shù)據(jù)、實(shí)施DDoS攻擊等。
7.2 利用方式
XSS攻擊使用到的技術(shù)主要為HTML和Javascript,也包括VBScript和ActionScript等。XSS攻擊對WEB服務(wù)器雖無直接危害,但是它借助網(wǎng)站進(jìn)行傳播,使網(wǎng)站的使用用戶受到攻擊,導(dǎo)致網(wǎng)站用戶帳號(hào)被竊取,從而對網(wǎng)站產(chǎn)生較嚴(yán)重的危害。
7.3 整改建議
1)修改網(wǎng)站源代碼,對用戶交互頁面提交數(shù)據(jù)進(jìn)行過濾,防止SQL注入漏洞產(chǎn)生;
2)對網(wǎng)站代碼進(jìn)行一次全面檢測,查看是否有惡意程序存在;
3)建議重新安裝服務(wù)器及程序源碼,防止無法檢測到深度隱藏的惡意程序,導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門進(jìn)入;
4)如有條件,建議部署WEB應(yīng)用防火墻等相關(guān)設(shè)備。8.文件包含
8.1 危害 由于開發(fā)人員編寫源碼,開發(fā)者將可重復(fù)使用的代碼插入到單個(gè)的文件中,并在需要的時(shí)候?qū)⑺鼈儼谔厥獾墓δ艽a文件中,然后包含文件中的代碼會(huì)被解釋執(zhí)行。由于并沒有針對代碼中存在文件包含的函數(shù)入口做過濾,導(dǎo)致客戶端可以提交惡意構(gòu)造語句,并交由服務(wù)器端解釋執(zhí)行。
8.2 利用方式
文件包含漏洞,如果允許客戶端用戶輸入控制動(dòng)態(tài)包含在服務(wù)器端的文件,會(huì)導(dǎo)致惡意代碼的執(zhí)行及敏感信息泄露,主要包括本地文件包含和遠(yuǎn)程文件包含兩種形式。
8.3 整改建議
修改程序源代碼,禁止服務(wù)器端通過動(dòng)態(tài)包含文件方式的文件鏈接。
9.目錄遍歷 9.1 危害
程序中如果不能正確地過濾客戶端提交的../和./之類的目錄跳轉(zhuǎn)符,惡意者就可以通過上述符號(hào)跳轉(zhuǎn)來訪問服務(wù)器上的特定的目錄或文件。
9.2 利用方式
提交../和./之類的目錄跳轉(zhuǎn)符,惡意者就可以通過上述符號(hào)跳轉(zhuǎn)來訪問服務(wù)器上的特定的目錄或文件。
9.3 整改建議
加強(qiáng)網(wǎng)站訪問權(quán)限控制,禁止網(wǎng)站目錄的用戶瀏覽權(quán)限。
10.危險(xiǎn)端口
10.1 危害
開放危險(xiǎn)端口(數(shù)據(jù)庫、遠(yuǎn)程桌面、telnet等),可被攻擊者嘗試弱口令登錄或暴力猜解登錄口令,或利用開放的端口進(jìn)行DDOS拒絕服務(wù)攻擊。
10.2 利用方式
弱口令嘗試和暴力猜解。10.3 整改建議
加強(qiáng)網(wǎng)站服務(wù)器的端口訪問控制,禁止非必要端口對外開放。例如數(shù)據(jù)庫連接端口1433、1521、3306等;謹(jǐn)慎開放遠(yuǎn)程管理端口3389、23、22、21等,如有遠(yuǎn)程管理需要,建議對端口進(jìn)行更改或者管理IP進(jìn)行限制。
11.信息泄露 11.1 危害
目標(biāo)網(wǎng)站W(wǎng)EB程序和服務(wù)器未屏蔽錯(cuò)誤信息,未做有效權(quán)限控制,可能導(dǎo)致泄漏敏感信息,惡意攻擊者利用這些信息進(jìn)行進(jìn)一步滲透測試。
11.2 利用方式
信息泄漏的利用方式包括但不限于以下攻擊方式: 1)phpinfo信息泄漏; 2)測試頁面泄漏在外網(wǎng); 3)備份文件泄漏在外網(wǎng); 4)版本管理工具文件信息泄漏; 5)HTTP認(rèn)證泄漏;
6)泄漏員工電子郵箱漏洞以及分機(jī)號(hào)碼;
7)錯(cuò)誤詳情泄漏;
8)網(wǎng)站真實(shí)存放路徑泄漏。11.3 整改建議
1)加強(qiáng)網(wǎng)站服務(wù)器配置,對默認(rèn)錯(cuò)誤信息進(jìn)行修改,避免因客戶端提交的非法請求導(dǎo)致服務(wù)器返回敏感信息。
2)盡量不在網(wǎng)站目錄下存放備份、測試等可能泄露網(wǎng)站內(nèi)容的文件。
12.中間件
12.1 危害
WEB應(yīng)用程序的搭建環(huán)境會(huì)利用到中間件,如:IIS、apache、weblogic等,而這些中間件軟件都存在一些漏洞,如:拒絕服務(wù)漏洞,代碼執(zhí)行漏洞、跨站腳本漏洞等。惡意攻擊者利用中間件的漏洞可快速成功攻擊目標(biāo)網(wǎng)站。
12.2 利用方式
判斷中間件版本,利用已公布的漏洞exp進(jìn)行攻擊,或挖掘識(shí)別出的版本所存在的安全漏洞。
12.3 整改建議
加強(qiáng)網(wǎng)站web服務(wù)器、中間件配置,及時(shí)更新中間件安全補(bǔ)丁,尤其注意中間件管理平臺(tái)的口令強(qiáng)度。
13.第三方插件 13.1 危害
WEB應(yīng)用程序很多依靠其他第三方插件搭配,如編輯器、網(wǎng)站框架,這些第三方插件也會(huì)存在一些漏洞,若未做安全配置,使用默認(rèn)安裝也會(huì)產(chǎn)生一些安全隱患,導(dǎo)致攻擊者可以任意新增、讀取、修改或刪除應(yīng)用程序中的資料,最壞的情況是造成攻擊者能夠完全獲取整個(gè)網(wǎng)站和數(shù)據(jù)庫的控制權(quán)限,包括修改刪除網(wǎng)站頁面、竊取數(shù)據(jù)庫敏感信息,甚至以網(wǎng)站為跳板,獲取整個(gè)內(nèi)網(wǎng)服務(wù)器控制權(quán)限。
13.2 利用方式
識(shí)別當(dāng)前網(wǎng)站程序所涉及的第三方插件,針對第三方插件進(jìn)行漏洞攻擊
13.3 整改建議
一些不安全的第三方插件,可能存在眾多已知或未知漏洞,攻擊者利用這些第三方插件漏洞,可能獲取網(wǎng)站文件、控制服務(wù)器。如果網(wǎng)站需要引入第三方插件,建議上線前進(jìn)行安全檢測或加固,盡量不要采用一些存在問題較多的中間件,例如fckeditor等。
14.文件上傳 14.1 危害
由于文件上傳功能實(shí)現(xiàn)代碼沒有嚴(yán)格限制用戶上傳的文件后綴以及文件類型,導(dǎo)致允許攻擊者向某個(gè)可通過 Web 訪問的目錄上傳任意后綴文件,并能將這些文件傳遞給腳本解釋器,就可以在遠(yuǎn)程服務(wù)器上執(zhí)行任意腳本或惡意代碼。
14.2 利用方式
直接上傳可被執(zhí)行的腳本文件,繞過文件限制上傳可被執(zhí)行的腳本文件。
14.3 整改建議
對網(wǎng)站所有上傳接口在服務(wù)器端進(jìn)行嚴(yán)格的類型、大小
等控制,防止攻擊者利用上傳接口上傳惡意程序。
15.配置文件 15.1 危害
未做嚴(yán)格的權(quán)限控制,惡意攻擊者可直接訪問配置文件,將會(huì)泄漏配置文件內(nèi)的敏感信息。
15.2 利用方式
嘗試訪問常見配置文件路徑,查看是否泄漏敏感信息。15.3 整改建議
加強(qiáng)對網(wǎng)站常見默認(rèn)配置文件比如數(shù)據(jù)庫連接文件、備份數(shù)據(jù)庫等文件的管理,避免使用默認(rèn)配置路徑及默認(rèn)格式存放,防止攻擊者針對網(wǎng)站類型直接獲取默認(rèn)配置文件。
16.冗余文件 16.1 危害
未做嚴(yán)格的權(quán)限控制,如備份信息或臨時(shí)文件等冗余文件將會(huì)泄漏敏感信息。
16.2 利用方式
利用字典嘗試冗余文件是否存在,并且判斷是否存在可利用的敏感信息。
16.3 整改建議
1)注意對網(wǎng)站所有目錄中文件進(jìn)行監(jiān)控,避免將網(wǎng)站打包備份文件、數(shù)據(jù)庫備份文件等直接存放在網(wǎng)站目錄下;
2)定期對網(wǎng)站目錄中文件進(jìn)行比對,及時(shí)發(fā)現(xiàn)并清除被插入頁面或上傳的惡意程序。
17.系統(tǒng)漏洞
17.1 危害
系統(tǒng)漏洞問題是與時(shí)間緊密相關(guān)的。一個(gè)系統(tǒng)從發(fā)布的那一天起,隨著用戶的深入使用,系統(tǒng)中存在的漏洞會(huì)被不斷暴露出來。如果系統(tǒng)中存在安全漏洞沒有及時(shí)修復(fù),并且計(jì)算機(jī)內(nèi)沒有防病毒軟件等安全防護(hù)措施,很有可能會(huì)被病毒、木馬所利用,輕則使計(jì)算機(jī)操作系統(tǒng)某些功能不能正常使用,重則會(huì)使用戶賬號(hào)密碼丟失、系統(tǒng)破壞等。
17.2 利用方式
通過漏洞掃描軟件獲取當(dāng)前系統(tǒng)存在的漏洞信息,進(jìn)行利用。
17.3 整改建議
1)及時(shí)更新網(wǎng)站服務(wù)器、中間件、網(wǎng)站應(yīng)用程序等發(fā)布的安全漏洞補(bǔ)丁或安全增強(qiáng)措施;
2)如果因特殊情況不宜升級補(bǔ)丁,則應(yīng)該根據(jù)漏洞情況使用一些第三方的安全防護(hù)措施防止漏洞被利用;
3)如有條件,建議經(jīng)常對網(wǎng)站進(jìn)行系統(tǒng)層漏洞檢測。
點(diǎn)擊咨詢 