漏洞整改建议.docVIP

针对网站目录路径泄露整改建议 统一错误代码：确保你不小心通过提供不一致或“冲突”的错误消息给攻击者。 信息错误消息：确保错误信息不透露太多的信息。完全或部分路径，变量和文件名，行和表中的列名，和特定的数据库的错误不应该透露给最终用户。 适当的错误处理：利用通用的错误页面和错误处理逻辑，告知潜在的问题的最终用户。不提供系统信息或可能被攻击者利用精心策划的攻击时，其它数据。 针对文件上传漏洞整改建议 文件上传功能允许 Web 用户将文件从自己的计算机发送到 Web 服务器。如果用于接收文件的 Web 应用程序未仔细检查此文件是否包含恶意内容，那么攻击者也许能够通过上传文件在服务器上执行任意命令。建议采取严格的文件上传策略，通过清理和筛选避免上传恶意材料。 限制文件上传类型检查的文件扩展名，只允许特定的文件上传。用白名单的方式而不是一个黑名单。检查双扩展php.png。检查的文件没有文件 名一样。htaccess（对ASP.NET配置文件，检查网络配置。）。变对上传文件夹的权限，文件可执行。如果可能的话，重命名上传文件。可能会在 Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件 robots.txt 文件不应用来保护或隐藏信息 您应该将敏感的文件和目录移到另一个隔离的子目录，以便将这个目录排除在