漏洞整改建议分析.doc

针对网站目录路径泄露整改建议 统一错误代码：确保你不小心通过提供不一致或“冲突”的错误消息给攻击者。 信息错误消息：确保错误信息不透露太多的信息。完全或部分路径，变量和文件名，行和表中的列名，和特定的数据库的错误不应该透露给最终用户。 适当的错误处理：利用通用的错误页面和错误处理逻辑，告知潜在的问题的最终用户。不提供系统信息或可能被攻击者利用精心策划的攻击时，其它数据。 针对文件上传漏洞整改建议 文件上传功能允许 Web 用户将文件从自己的计算机发送到 Web 服务器。如果用于接收文件的 Web 应用程序未仔细检查此文件是否包含恶意内容，那么攻击者也许能够通过上传文件在服务器上执行任意命令。建议采取严格的文件上传策略，通过清理和筛选避免上传恶意材料。 限制文件上传的类型，检查的文件扩展名，只允许特定的文件上传。用白名单的方式而不是一个黑名单。检查双扩展，如.php.png。检查的文件没有文件 名一样。htaccess（对ASP.NET配置文件，检查网络配置。）。改变对上传文件夹的权限，文件在此文件夹中不可执行。如果可能的话，重命名上传文件。 可能会在 Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚本和文件 在文件上载过程中，限制用户能力和许可权： [1] 确保上载脚本只能控制上载的文件名和位置。 [2] 不上载脚本文件，如 asp、aspx、php、jsp 等。只允许上载静态内容。 [3] 只允许上载预期的文件类型。例如，如果您预期纯文本文件，便只允许 .txt 扩展名。 [4] 验证上载的文件内容。如果您预期纯文本文件，请确保它不含二进制字符或动态脚本部分。 针对Robot.txt文件WEB站点结构泄露漏洞整改建议 可能会检索有关站点文件系统结构的信息，这可能会帮助攻击者映射此 Web 站点。 robots.txt 文件不应用来保护或隐藏信息 您应该将敏感的文件和目录移到另一个隔离的子目录，以便将这个目录排除在 Web Robot 搜索之外。如下列示例所示，将文件移到“folder”之类的非特定目录名称是比较好的解决方案： New directory structure: /folder/passwords.txt /folder/sensitive_folder/ New robots.txt: User-agent: * Disallow: /folder/ 如果您无法更改目录结构，且必须将特定目录排除于 Web Robot 之外，在 robots.txt 文件中，请只用局部名称。虽然这不是最好的解决方案，但至少它能加大完整目录名称的猜测难度。例如，如果要排除“sensitive_folder”和 “passwords.txt”，请使用下列名称（假设 Web 根目录中没有起始于相同字符的文件或目录）： robots.txt: User-agent: * Disallow: /se Disallow: /pa 针对源代码泄露漏洞整改建议 攻击者可以收集敏感信息（数据库连接字符串，应用程序逻辑）的源代码分析。该信息可以被用来进行进一步的攻击。 建议升级最新tomcat中间件。 建议在tomcat的conf/web.xml文件里加入大写.JSP映射。即 <servlet-mapping> ?? ? ? ?<servlet-name>JSP</servlet-name> ?? ? ? ?<url-pattern>*.JSP</url-pattern> ? ?</servlet-mapping> ? 针对SVN库发现漏洞整改建议 这些文件可以公开敏感信息，有助于一个恶意用户准备更进一步的攻击。 从生产系统中删除这些文件或限制访问.svn目录。拒绝访问所有你需要在适当的范围内添加以下几行svn文件夹（或者全局配置, 或者 vhost/directory, 或者是 .htaccess)。 <Directory ~ "\.svn"> Order allow,deny Deny from all </Directory> 针对网络端口未限制漏洞的整改建议 建议明确每个端口对应的服务进程，根据系统和应用的要求，关闭系统中不必要的服务进程 建议明确服务器的对外和对内的服务用途，关闭系统中不必要的服务端口（如139、445等）。 如果需要对外开放其他端口，建议采用IP地址限制（例如：3389端口）。 建议防火墙关闭不需要的端口，只开放对外提供服务的端口（例如：80端口）。 远程攻击者可以根据端口号来判断服务器有哪些应用，并根据相应的应用采取对应攻击，为黑客提供了更多攻击途径与手段。 针对SQL注入漏洞的整改建议 每