OA安全需知总汇.docxVIP

目录弱口令3可预测的登录凭证3网站式门户设置易于上传木马3已解密的__VIEWSTATE参数7会话cookie中缺少httponly属性7不充分账户封锁7链接注入（便于跨站请求伪造）8Microsoft IIS 缺少Host头信息泄漏8信息泄露漏洞11弱口令该漏洞管理员可以通过设置【密码最小长度】、【密码有效期】来进行防范。请管理员增强admin用户的密码强度，并妥善保管。可预测的登录凭证请管理员清理类似如下用户名和密码。用户名：admin、密码：admin；用户名：guest、密码：guest；用户名：test、密码：test网站式门户设置易于上传木马该漏洞请管理员通过【系统管理】-【权限管理】-【权限设置】来控制该页面的访问权限。另外，请实施人员协助管理员清理文件夹读写权限，将角色【Everyone】的写入权限去掉，并添加角色【NETWORK SERVICE】，赋予【完全控制】的权限。具体操作如下。删除角色【Everyone】单击C6文件夹，右键选中“属性”，弹出文件夹属性窗口（如图3-1）。（图3-1）单击属性框中的【安全】选项卡（如图3-2）。（图3-2）【组或用户名】中如不存在Everyone 可以跳过该步骤。选中【Everyone】单击【编辑】按钮，得到如下（如图3-3）。（图3-3）单击【删除】，单击【确定】即可。添加角色【NETWORK SERVICE】，赋予【完全控制】权限。同样打开文件夹属性框，单击【编辑】得到文件夹权限对话框（见图3-3）。单击【添加】得到如下（如图3-4）。（图3-4）在文本框中输入NETWORK SERVICE ,单击【检查名称】，单击【确定】，得到如下（如图3-5）。（图3-5）【完全控制】项勾选【允许】，单击【确定】即可。已解密的__VIEWSTATE参数修改web.config 将原本的page标签改为如下格式 !--使用哈希码来确保 ViewState 状态信息是防篡改的。一直加密 ViewState-- pages validateRequest=false enableEventValidation=false enableViewStateMac=true viewStateEncryptionMode=Always /pages会话cookie中缺少httponly属性修改web.config 在 system.web节点下添加 !--为 Web 应用程序使用的 Cookie 配置属性。--httpCookieshttpOnlyCookies=true requireSSL=true /不充分账户封锁处理方案：已经在登陆时限制用户的登陆次数以及账号的锁定处理，防止对用户的密码进行暴力破解。方案描述：用户在通过登陆失败之后会进行次数限制，当失败登陆次数满足用户最大的登陆次数后，用户的账号将会被锁定，禁止该用户登陆系统。链接注入（便于跨站请求伪造）处理方案：[页面]C6\Control\QueryForDossier.aspx已在该页面中删除了selectFlag参数，并且删除JHSoft.Web.CustomQuery.QueryForDossier.aspx.cs后台代码中的selectFlag参数。Microsoft IIS 缺少Host头信息泄漏解决方案：需要对IIS进行设置。官网目前只有对IIS6及以下的版本可以处理，IIS6以上版本并没有给解决方案。根据 Q218180 应用配置更改。微软官方地址：/default.aspx?scid=KB;EN-US;Q218180方案如下：原文：There are two solutions depending on your version of IIS that you are using. Because of this, follow the correct steps based on your version.Correct for IIS 4.0, 5.0, or 5.1Example: HTTP/1.1 200 OKServer: Microsoft-IIS/4.0 or Microsoft-IIS/5.0Content-Location: /Default.htmDate: Thu, 18 Feb 1999 15:08:44 GMTContent-Type: text/htmlAccept-Ranges: bytesLast-Modified: Mon, 30 Nov 1998 15:40:15 GMTETag: f07f84b9771cbe1:3068Content-Length: 4739Warning Using the Adsutil.vbs file incorr