当前位置:   article > 正文

加固安全防线:解决常见漏洞的实用指南_对禁止的资源发布“404 - not found”响应状态代码,或者将其完全除去(1)

对禁止的资源发布“404 - not found”响应状态代码,或者将其完全除去

| 配置管理 | S2-005命令执行漏洞 | 高危 | OGNL除其他功能外,还提供了广泛的表达评估功能。该漏洞允许恶意用户绕过构建在ParametersInterceptor中的“#”  - 使用保护,从而能够利用此漏洞进行远程代码执行。 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | S2-009命令执行漏洞 | 高危 | OGNL除其他功能外,还提供广泛的表达评估功能。该漏洞允许恶意用户绕过构建到ParametersInterceptor中的所有保护(正则表达式模式,拒绝方法调用),从而能够在任何公开的字符串变量中注入恶意表达式以进一步评估。    S2-003和S2-005中已经解决了类似的行为,但事实证明,基于白名单可接受的参数名称所产生的修复只是部分地关闭了漏洞。    正则表达式在ParametersInterceptor中匹配top [‘foo’](0)作为一个有效的表达式,OGNL把它视为(top  [‘foo’])(0)并且将’foo’动作参数的值作为OGNL表达式来计算。这使得恶意用户可以将任意的OGNL语句放入任何由操作暴露的字符串变量中,并将其作为OGNL表达式进行求值,并且由于OGNL语句在HTTP参数值中,攻击者可以使用黑名单字符(例如#)禁用方法执行并执行任意方法绕过了ParametersInterceptor和OGNL库的保护。 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | S2-016命令执行漏洞 | 高危 | 在struts2中,DefaultActionMapper类支持以"action:“、“redirect:”、“redirectAction:“作为导航或是重定向前缀,但是这些前缀后面同时可以跟OGNL表达式,由于struts2没有对这些前缀做过滤,导致利用OGNL表达式调用java静态方法执行任意系统命令。 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | S2-017URL跳转漏洞 | 高危 | 在2.3.15.1之前的Struts  2中,“redirect:”或“redirectAction:”之后的信息可以很容易地被操纵,以重定向到任意位置。 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | S2-019命令执行漏洞 | 高危 | Struts2的操作映射机制支持特殊参数前缀操作,这可能会在表格底部附加引导信息,在映射  “action:” 前缀操作时存在安全绕过漏洞,可被攻击者利用绕过某些安全限制访问受限制功能。Struts2的Dynamic  Method  Invocation机制是默认开启的(仅提醒用户如果可能的情况下关闭此机制)这样就存在远程代码执行漏洞,攻击者可利用此漏洞在受影响应用上下文中执行任意代码。 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | S2-032命令执行漏洞 | 高危 | 动态方法调用启用时,可能会传递一个恶意表达式,用于在服务器端执行任意代码。 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | S2-037命令执行漏洞 | 高危 | Struts2使用Rest插件之后,ActionMapping通过org.apache.struts2.rest.RestActionMapper.java类的publicActionMappinggetMapping(HttpServl  etRequest  request,ConfigurationManagerconfigManager)的方法获取的。其中,当请求url是如下的格式:actionName/id/methodName会获取methodName  作为ActionMapping的method属性。但method属性未做任何处理,同S2-032漏洞执行流程一致,都是将ActionMapping的属性设置到ActionProxy中,从ActionProxy中获取method属性带入到ognl表达式中执行,通过OGNL表达式静态调用获取ognl.OgnlContext的DEFAULT_MEMBER_ACCESS属性并覆盖_memberAccess的方式进行绕过,进而可在受控制的服务器端执行任意代码。即攻击者在部署了REST插件的Struts  2服务器上均可利用该漏洞远程执行任意命令 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | S2-045命令执行漏洞 | 高危 | 使用 Jakarta 文件上传插件的 Struts,攻击者可在上传文件时通过修改HTTP请求头中的 Content-Type 值来触发该漏洞,进而执行系统命令。 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | S2-046命令执行漏洞 | 高危 | 使用 Jakarta 文件上传插件的 Struts,攻击者可在上传文件的大小(由 Content-Length 头指定)大于 Struts2 允许的最大大小(2GB),文件名内容构造恶意的 OGNL 来触发该漏洞,进而执行系统命令。 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | S2-052命令执行漏洞 | 高危 | Struts2  REST 插件使用带有 XStream 程序的 XStream Handler 进行未经任何代码过滤的反序列化操作,这可能在反序列化XML  payloads时导致远程代码执行。任意攻击者都可以构造恶意的XML内容提升权限。 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | JDWP远程命令执行漏洞 | 高危 | JDWP 是 Java Debug Wire Protocol  的缩写,它定义了调试器(debugger)和被调试的 Java 虚拟机(target  vm)之间的通信协议。当对外开启该协议的Java调试模式时,存在远程命令执行漏洞。允许攻击者远程执行代码,获得服务器权限。 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | ElasticSearch命令执行漏洞 | 高危 | 该漏洞存在于一个名为ElasticSearch.yml的文件,在这个文件中存在一个配置项“script.disable_dynamic”,默认为“false”。此默认配置允许服务器动态执行用户发送的任意代码。黑客只需要通过一个URL地址向服务器传送一段代码,就可以创建和执行他们自己的程序。一旦黑客获得通过,他们在服务器上的操作将不受任何限制,包括窃取网站中的用户账号及密码等敏感信息,或者留下一个后门程序。 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | Resin任意文件读取漏洞 | 高危 | 安装某些版本Resin服务器的网站存在可读取任意文件的漏洞,攻击者利用该漏洞可以读取网站服务器的任意文件内容。 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | GNU Bash远程命令执行 | 高危 | GNU  Bash  4.3及之前版本在评估某些构造的环境变量时存在安全漏洞,向环境变量值内的函数定义后添加多余的字符串会触发此漏洞,攻击者可利用此漏洞改变或绕过环境限制,以执行shell命令。 | 1.升级最新版本;    2.系统如果不再使用 ,请将其下线或用防火墙屏蔽。 |
| 配置管理 | Unicode  转换漏洞 | 高危 | 在Unicode在转换时,由于超长字节序列和错误格式引起子序列的安全问题。通过特殊的编码格式绕过程序对恶意字符的检测,可以用在SQL注入、XSS等。 | 1.升级Unicode版本至官方最新稳定版本http://www.unicode.org    2.Unicode转化UTF-8编码后,对转换后进行安全检测,对特殊字符过滤或进行安全编码后输出。 |
| 配置管理 | 检测到网站被黑痕迹  | 高危 | 网站页面已被篡改或已有入侵痕迹。 | 清除网站木马,全面检测网站漏洞并及时修复。 |
| 配置管理 | 使用被弃用的SSL 2.0协议 | 高危 | 网站https使用了SSL 2.0协议。该协议非常老旧且已被弃用。该协议存在大量已知的安全漏洞,比如DROWN漏洞等。 | 禁用SSL 2.0或者使用SSL 3.0 或TLS 1.0代替。 |
| 配置管理 | OpenSSL远程内存泄露漏洞(心脏滴血漏洞) | 高危 | OpenSSL是一款开放源码的SSL实现,用来实现网络通信的高强度加密。漏洞与OpenSSL  TLS/DTLS传输层安全协议heartbeat扩展组件(RFC6520)相关,因此漏洞又被称为“heartbleed  bug”(中文名称:“心血”漏洞)。该漏洞无需任何特权信息或身份验证,就可以获得X.509证书的私钥、用户名与密码、cookies等信息,进一步可直接从服务提供商和用户通讯中窃取聊天工具消息、电子邮件以及重要的商业文档和通信等私密数据。 | 升级OpenSSL版本到最新的1.0.1g;使用-DOPENSSL_NO_HEARTBEATS参数重新编译低版本的OpenSSL以禁用Heartbleed模块。 |
| 配置管理 | JBoss  Seam参数化EL表达式远程代码执行漏洞 | 高危 | JBoss Seam是一个Java  EE5框架,把JSF与EJB3.0组件合并在一起,从而为开发基于Web的企业应用程序提供一个最新的模式。    JBoss Seam处理某些参数化JBoss  EL表达式的方式存在输入过滤漏洞( CVE-2010-1871)。如果远程攻击者能够诱骗通过认证的JBoss  Seam用户访问特制的网页,就可能导致执行任意代码 | 升级至4.3.0  EL4或以上更高的、确认已修复此漏洞的版本。参考链接:https://bugzilla.redhat.com/show_bug.cgi?id=615956 |
| 配置管理 | Weblogic  Java反序列化远程命令执行漏洞 | 高危 | Weblogic存在Java反序列化漏洞,攻击者可以远程执行系统命令,获得服务器权限。 | 及时升级官方补丁。 |
| 配置管理 | JBoss反序列化漏洞 | 高危 | 根源在CommonsCollections组件中对于集合的操作存在可以进行反射调用的方法,并且该方法在相关对象反序列化时并未进行任何校验,导致远程代码执行。利用漏洞,允许攻击者远程执行系统命令,获得服务器权限,导致服务器运行安全风险。 | 1.针对JBoss  Java反序列化漏洞,建议更新jboss版本到最新版(http://www.jboss.org/)或 更新官方补丁。    2.针对数据库帐号密码进行修改,要求密码长度8位数以上,密码复杂程度必须包含数字、大小写字母及特殊字符。    3.对服务器进行全面安全检查,及时排查、清除webshell等后门文件;及时修改数据库密码等。 |
| 配置管理 | JBoss  JMXInvokerServlet远程命令执行漏洞 | 高危 | Jboss在默认安装的时候,会安装http-invoker.sar站点,当请求invoker/JMXInvokerServlet或invoker/EJBInvokerServlet会调用org.jboss.invocation.http.servlet.InvokerServlet.class处理请求。该类对GET请求和POST请求,统一调用processRequest函数处理,因此,攻击者需要自己构造一个jboss的类,并且将其序列化,然后将序列化的数据直接提交到存在漏洞站点的invoker/JMXInvokerServlet页面,恶意代码将会被执行。 | 建议删除或禁止访问/invoker/JMXInvokerServlet文件。 |
| 配置管理 | Apache ActiveMQ远程代码执行漏洞 (CVE-2016-3088) | 高危 | Apache ActiveMQ Fileserver 存在多个安全漏洞,可使远程攻击者用恶意代码替代Web应用,在受影响系统上执行远程代码(CVE-2016-3088)。 | 1.ActiveMQ Fileserver 的功能在 5.14.0 及其以后的版本中已被移除。建议用户升级至 5.14.0 及其以后版本。    2.通过移除 conf\jetty.xml 的以下配置来禁用 ActiveMQ Fileserver 功能 |
| 配置管理 | Apache Tomcat示例目录漏洞 | 高危 | tomcat安装时默认的演示、文档页面,会造成信息泄露和XSS跨站脚本漏洞,攻击者可以创建、销毁或控制session。 | 删除相关功能演示页面。 |
| 配置管理 | Tomcat版本过低漏洞 | 中危 | Tomcat由于版本过低存在安全漏洞。 | 升级Tomcat版本或及时打补丁。 |
| 配置管理 | S2-053命令执行漏洞 | 中危 | Apache  Struts2 Freemarker标签如果被错误的配置使用,将会导致RCE远程代码执行漏洞。 | 1.升级到Apache  Struts版本2.5.12或2.3.34    2.使用只读属性来初始化value属性(仅限getter属性)    3.Freemarker标签内容不要通过Request方式获取  |
| 配置管理 | HPPT.sys远程代码执行漏洞(MS15-034) | 中危 | 远程执行代码漏洞存在于 HTTP 协议堆栈 (HTTP.sys) 中,当 HTTP.sys 未正确分析经特殊设计的 HTTP 请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。    影响以下版本操作系统的IIS服务器:Windows 7、Windows 8、Windows server 2008、Windows server 2012 | 用户安装微软官方修复补丁(3042553)。    https://support.microsoft.com/zh-cn/kb/3042553 |
| 配置管理 | WebDav文件上传/信息泄露漏洞 | 中危 | WebDAV是一种基于 HTTP 1.1协议的通信协议.它扩展了HTTP  1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法。使应用程序可直接对Web Server文件进行读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。远程攻击者可能利用此漏洞非授权读写文件。 | 通常情况下网站不需要支持额外的方法,建议禁用WebDav服务,关闭PUT、MOVE、COPY等方法。 |
| 配置管理 | slowhttp拒绝服务攻击 | 中危 | 如果远程攻击者使用发包工具向Apache服务器发送了不完整的HTTP请  求,服务器会打开连接等待接受完整的头,但如果发包工具不再继续发送完整请求而是发送无效头的话,就会一直保持打开的连接。这种攻击所造成的影响很严重,  因为攻击者不需要发送很大的通讯就可以耗尽服务器上的可用连接。也就是说,即使低带宽的用户也可以攻击大流量的服务器。 | 1.升级到最新版的apache    2.在httpd.conf中添加RequestReadTimeout header=20-40,MinRate=500  body=20,MinRate=500    3.直接在 iptables 中限制每个 IP 的连接数可以解决以上绝大部分问题,除非攻击者拥有众多肉鸡,否则单 IP 的攻击将失去效果。    iptables -A INPUT -p tcp --syn --dport 8889 -m  connlimit --connlimit-above 20 -j REJECT --reject-with tcp-reset |
| 配置管理 | jQuery版本过低(jQuery低版本存在跨站) | 中危 | jQuery  1.6.3之前版本中存在跨站脚本漏洞。当使用location.hash选择元素时,通过特制的标签,远程攻击者利用该漏洞注入任意web脚本或HTML。 | 升级jQuery版本。 |
| 配置管理 | 不安全的javascript库文件 | 中危 | 该版本的javascript库存在多个安全漏洞 | 升级javascript库版本。 |
| 配置管理 | 传输层保护不足漏洞 | 中危 | 传输层保护不足,会暴露传输的数据,导致数据被窃听,账号被盗等,如果是管理员的账号面临这个问题,那么将会导致整个网站处于数据暴露的状态,将对网站和用户造成严重的甚至无法挽回的损失。 | 1.对所有敏感的页面使用SSL,非SSL请求的页面应该被重定向到SSL请求的页面。    2.对所有敏感的Cookie,设置“secure”的flag。    3.保证SSL的提供商只支持强大的算法,这样就不能够被轻易破解。(使用标准的强算法)    4.确保您的证书是有效的,不过期,不被撤销,并匹配这个网站使用的所有域。    5.后台和其他的连接也应该使用SSL或其他加密技术。    6.即使是开发者的注释也应该很好的被保护,防止信息泄露。 |
| 配置管理 | 服务器启用了TRACE Method方法 | 中危 | 1.  恶意攻击者可以通过TRACE Method返回的信息了解到网站前端的一些信息,如缓存服务器等,从而为下一步的攻击提供便利。    2.恶意攻击者可以通过TRACE Method进行XSS攻击    3.即使网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息,那么通过TRACE  Method恶意攻击者还是可以绕过这个限制读取到cookie信息。 | 禁用TRACE方法。 |
| 配置管理 | 点击劫持漏洞(X-Frame-Options头缺失) | 中危 | 通过覆盖不可见的框架误导受害者点击,受害者点击的是他所看到的网页,但其实他所点击的是被黑客精心构建的另一个置于原网页上面的透明页面。 | 设置X-Frame-Options值来防御利用iframe嵌套的点击劫持攻击。 |
| 配置管理 | 启用了不安全的HTTP方法(启用了OPTIONS方法) | 中危 | 开启了不安全的HTTP方法:DELTE/SEARCE/COPY,MOVE/PROPFIND/PROPPATCH/MKCOL/LOCK/UNLOCK/PUT,可能会在Web  服务器上上载、修改或删除Web 页面、脚本和文件。 | 如果服务器不需要支持WebDAV,请务必禁用它,或禁止不必要的HTTP  方法。 |
| 配置管理 | 域名访问限制不严格 | 中危 | 目标存在域名访问限制不严格漏洞。Http请求的Hostname字段没有严格的域名限制,导致可以绕过一些防护措施。 | 配置WEB服务器,限制只能以域名形式访问服务器。 |
| 信息泄露 | SVN源代码泄露 | 高危 | 造成SVN源代码漏洞的主要原因是管理员操作不规范。在使用SVN管理本地代码过程中,会自动生成一个名为.svn的隐藏文件夹,其中包含重要的源代码信息。但一些网站管理员在发布代码时,不愿意使用‘导出’功能,而是直接复制代码文件夹到WEB服务器上,这就使.svn隐藏文件夹被暴露于外网环境,黑客可以借助其中包含的用于版本信息追踪的‘entries’文件,逐步摸清站点结构。    更严重的问题在于,SVN产生的.svn目录下还包含了以.svn-base结尾的源代码文件副本(低版本SVN具体路径为text-base目录,高版本SVN为pristine目录),如果服务器没有对此类后缀做解析,黑客则可以直接获得文件源代码。 | 针对SVN信息泄露漏洞,建议删除WEB目录里的SVN文件或限制访问.svn目录,并升级SVN软件至1.7或以上更高版本 |
| 信息泄露 | .idea工程目录信息泄露漏洞 | 高危 | .idea目录用来放置开发工程的一些配置文件,通常是.xml文件。其中workspace.xml里面存放一些开发者个人配置,比如开发路径、开发环境等。里面包含一些敏感信息。 | 生产环境中删除.idea目录及该目录下的文件,或配置网站服务器禁止访问.idea目录。 |
| 信息泄露 | ASP.NET_Padding_Oracle信息泄露(MS10-070) | 高危 |  ASP.NET由于加密填充验证过程中处理错误不当,导致存在一个信息泄漏漏洞。成功利用此漏洞的攻击者可以读取服务器加密的数据,例如视图状态。  此漏洞还可以用于数据篡改,如果成功利用,可用于解密和篡改服务器加密的数据。 | 建议将Microsoft  .NET Framework 更新至最新版本。 |
| 信息泄露 | .git信息泄露 | 高危 | 泄露网站敏感信息,攻击者可直接获取源码信息实施进一步攻击。 | 删除.git目录。 |
| 信息泄露 | 错误页面信息泄露(应用程序错误信息) | 中危 | 攻击者可以根据错误或警告消息收集服务器信息。 | 1.关闭web服务器错误提示;    2.关闭运行平台的错误提示;    3.建立错误机制,不要把真实的错误反馈给访问者。捕获后台抛出的异常,制定异常固定跳转页面,如500错误,跳转到相应页面,例如“系统异常请与管理员联系”,403异常,找不到页面等等。 |
| 信息泄露 | 备份文件泄露 | 中危 | 在网站的使用过程中,往往需要对网站中的文件进行修改、升级。此时就需要对网站整站或者其中某一页面进行备份。当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站web目录下,而该目录又没有设置访问权限时,便有可能导致备份文件或者编辑器的缓存文件被下载,导致敏感信息泄露,给服务器的安全埋下隐患。 | 1.删除不必要的备份文件;    2.设置访问权限;    3.将备份文件放至服务器其它目录下。 |
| 信息泄露 | 目录遍历 | 中危 | 攻击者通过不指定url中的具体文件,来查看某个目录下的所有文件和目录结构。 | 针对目录遍历漏洞,建议通过修改配置文件,去除Web  容器(如Apache)的文件目录索引功能。 |
| 信息泄露 | IIS短文件名漏洞 | 中危 | Microsoft  IIS在实现上存在文件枚举漏洞,攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。 | 针对IIS短文件名漏洞,建议禁止url中使用“~”或它的Unicode编码,或关闭windows的8.3格式功能。 |
| 信息泄露 | 源代码泄露漏洞 | 中危 | 部分或全部页面源代码泄露,攻击者可审查源代码泄露的可用信息进一步渗透。 | 删除源代码文件或对需要的未解析的源代码进行解析。 |
| 信息泄露 | robots.txt文件泄露 | 中危 | 泄露网站敏感信息,包括网站的后台页面或其它隐私页面。 | 1.robots.txt  文件不应用来保护或隐藏信息。    2.应该将敏感的文件和目录移到另一个隔离的子目录,以便将这个目录排除在 Web Robot  搜索之外。如下列示例所示,将文件移到“folder”之类的非特定目录名称是比较好的解决方案: New directory structure:  /folder/passwords.txt /folder/sensitive_folder/    New robots.txt: User-agent: * Disallow: /folder/    3.如果您无法更改目录结构,且必须将特定目录排除于 Web Robot 之外,在 robots.txt  文件中,请只用局部名称。虽然这不是最好的解决方案,但至少它能加大完整目录名称的猜测难度。例如,如果要排除“sensitive_folder”和  “passwords.txt”,请使用下列名称(假设 Web 根目录中没有起始于相同字符的文件或目录): robots.txt: User-agent:  * Disallow: /se Disallow: /pa。 |
| 信息泄露 | 敏感信息泄露 | 中危 | 敏感信息泄露一般包括:中间件、软件框架(cms)类型和版本信息,数据库表结构、网站架构、账号密码体系等等。这些信息一般在服务器错误信息、html注释、隐藏表单、示例文件等地方出现。攻击者得到这些信息,有助于缩小攻击范围,进行有针对性的更深层次的攻击。 | 对于一般信息泄露,删除无用页面,或删除页面中的敏感信息即可。对于敏感报错信息泄露,需要设置代码捕获异常,并抛出异常,服务端出现异常后不在客户端回显,统一返回不包含敏感信息的错误页面。 |
| 信息泄露 | Github信息泄露漏洞 | 中危 | 开发人员使用Github进行代码管理。而免费用户在Github上的项目内容可在网站中检索到,并对所有用户开放可查看。泄露的敏感信息一般包括:软件源代码、程序账号密码等等。攻击者得到这些信息,可以进行代码审计,更有针对性的找到网站漏洞,甚至可以获得用户账号密码,直接登录获得用户权限。 | 删除敏感的Github项目代码,对可能泄露的帐号密码及时进行修改。 |
| 信息泄露 | PHP探针信息泄露 | 中危 | PHP探针文件会导致网站敏感信息泄露 | 删除默认安装PHP探针文件。 |
| 信息泄露 | phpinfo页面泄露 | 中危 | 泄露网站服务器敏感信息,包括网站物理路径、PHP版本、服务器信息及环境变量等。 | 1.通过修改服务器环境内php.ini文件,将“expose_php  = On”修改成“expose_php = Off”然后重启php即可。    2.如果确实需要该测试信息,在测试时使用,测试完毕后将该文件删除掉。    3.若无需要可以将一些php的危险函数禁用,打开/etc/php.ini文件,查找到  disable_functions,添加需禁用的以下函数名:phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen |
| 信息泄露 | 发现隐藏目录 | 低危 | 尝试了检测服务器上的隐藏目录,403  Forbidden 响应泄露了存在此目录,即使不允许对其进行访问,泄露网站目录结构。 | 可对禁止的资源发布“404  - Not Found”响应状态代码,或者将其完全除去。 |
| 信息泄露 | 内部IP地址泄露 | 低危 | 泄露内网IP地址 | 禁止将内网IP置于网站页面或代码层中。 |
| 信息泄露 | OpenSSH CBC模式信息泄露漏洞 | 低危 | 配置为CBC模式,OpenSSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误,导致可能泄露密文中任意块最多32位纯文本。 | 临时解决方案:在SSH会话中仅使用CTR模式加密算法,如AES-CTR    目前厂商已经发布了升级补丁以修复这个安全问题,补丁下载链接:    https://downloads.ssh.com/ |
| 信息泄露 | 未加密的登录请求 | 低危 | 检测中发现登录请求(例如:用户名、密码、电子邮件地址、社会安全号码等)被发送到服务器的过程中并未采用通讯加密协议或加密。恶意人员可通过数据截包实现网站管理员用户名、密码信息的截获。 | 注册或登录时,客户发送请求敏感信息进行加密,例如密码、电话、邮件等敏感信息进行加密传输。 |
| 访问控制 | Memcached 未授权访问漏洞 | 高危 | 由于memcached安全设计缺陷,客户端连接memcached服务器后无需认证就可读取、修改服务器缓存内容。 | 1.配置memcached监听本地回环地址127.0.0.1。    2.当memcached配置为监听内网IP或公网IP时,使用主机防火墙(iptalbes、firewalld等)和网络防火墙对memcached服务端口进行过滤。 |
| 访问控制 | rsync未授权访问漏洞 | 高危 | rsync是类unix系统下的数据镜像备份工具,如果配置不当,可导致攻击者匿名访问rsync程序,进一步进行增删改等操作。 | 建议两种方式防御,一是限定访问的IP,另一个是不允许匿名访问,添加用户口令。 |
| 访问控制 | WebSphere绕过安全限制漏洞 | 高危 | 在Java端”%c0%ae"解析为”\uC0AE”,最后转义为ASCCII低字符"."。通过这个方法可以绕过目录保护读取包配置文件信息,包括web-inf和meta-inf目录下的内容。攻击者还可以利用此漏洞查看或执行war包里面的文件。此漏洞影响WebSphere  Application Server 版本5.1, 6.0, 6.1 和7.0。 | 升级WebSphere至最新版,或安装PK81387安全补丁。    http://www-01.ibm.com/support/docview.wss?uid=swg24022456 |
| 访问控制 | cisco vpn未授权访问 | 高危 | Cisco  Adaptive Security Appliance (ASA) Software在Clientless SSL  VPN入口自定义框架在实现上存在安全漏洞,未经身份验证的远程攻击者可利用此漏洞修改Clientless SSL  VPN入口内容,导致窃取凭证、跨站脚本及其他攻击。此漏洞源于没有正确实现Clientless SSL VPN入口自定义框架内的身份验证检查。 | 建议升级思科最新发布的补丁:    http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20141008-asa |
| 访问控制 | DNS域传送漏洞 | 高危 | DNS区域传送(DNS  zone  transfer)指的是一台备用服务器使用来自主服务器的数据刷新自己的域(zone)数据库,一般来说,DNS区域传送操作只在网络里真的有备用域名DNS服务器时才有必要用到,但许多DNS服务器却被错误地配置成只要有client发出请求,就会向对方提供一个zone数据库的详细信息。 | 针对域传送漏洞,建议通过定义ACL(访问控制列表)来限制在域名服务器之间的区域传送,通常可编辑/etc/named.conf中allow-transfer参数。存在漏洞的是ns1.com,  如果其他ns2、ns3、ns4是备用dns服务器,那么应该只允许域传送至其他对应的地址。配置如下:    allow-transfer { localhost; ns2的IP; ns3的IP; ns4的IP;}; |
| 访问控制 | Mongodb数据库未授权访问漏洞 | 高危 | Mongodb在启动的时候未设置  –auth参数,造成恶意攻击者可使用默认空口令登陆到数据服务器。 | 建议增加数据库用户校验或限制设备登录IP地址,限制未授权访问。 |
| 访问控制 | redis数据库未授权访问漏洞 | 高危 | Redis  默认情况下会绑定在 0.0.0.0:6379,这样将会将 Redis  服务暴露到公网上,如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问 Redis 以及读取 Redis  的数据。攻击者在未授权访问 Redis 的情况下可以利用 Redis的相关方法,可以成功在 Redis  服务器上写入公钥,进而可以使用对应私钥直接登录目标服务器。 | 1.配置bind选项,限定可以连接Redis服务器的IP,修改  Redis 的默认端口6379    2.配置认证,也就是AUTH,设置密码,密码会以明文方式保存在Redis配置文件中    3.配置rename-command 配置项 “RENAME_CONFIG”,这样即使存在未授权访问,也能够给攻击者使用config  指令加大难度    4.好消息是Redis作者表示将会开发”real user”,区分普通用户和admin权限,普通用户将会被禁止运行某些命令,如config等。 |
| 访问控制 | phpmyadmin未授权访问 | 中危 | 发现phpmyadmin路径,且没有密码保护,可直接登录数据库,获得数据库root权限。 | 设置数据库密码防止未授权访问,修改phpmyadmin默认路径防止被攻击者发现。 |
| 访问控制 |  .htaccess文件未授权访问 | 中危 | 攻击者可未授权访问.htaccess文件,泄露网站敏感信息。 | 禁止.htaccess文件被查看 |
| 访问控制 | 弱口令漏洞 | 高危 | 包括但不限于:网站登录/FTP/SSH/数据库/中间件等,攻击者可猜解用户登录口令登录系统,实施进一步渗透攻击。 | 针对弱口令漏洞,建议用户及时修改密码,加强口令强度,设置口令为8位以上大小写字母、数字、特殊符号组合,并定期更换密码,避免使用弱口令。 |
| 认证与会话管理 | SNMP默认团体名漏洞 | 高危 | 由于很多操作系统或者网络设备的SNMP代理服务存在可读默认口令。如果这些默认口令没有修改或者为弱口令,远程攻击者就可以通过SNMP代理获取系统的很多细节信息。如果攻击者得到了可写口令,它甚至可以修改系统文件或者执行系统命令。 | 针对SNMP信息泄露漏洞,建议修改SNMP缺省口令或者关闭SNMP服务。 |
| 认证与会话管理 | FTP开启匿名登录 | 高危 | 攻击者可利用弱口令或匿名登录漏洞直接登录  FTP 服务,上传恶意文件,从而获取系统权限,并可能造成数据泄露。 | FTP服务为明文传输,建议使用SFTP代替,如需要继续休使用建议,禁止匿名登录,设置口令为8位以上大小写字母、数字、特殊符号组合,并定期更换密码,避免使用弱口令。 |
| 认证与会话管理 | 会话劫持漏洞 | 中危 | 攻击者通过暴力破解、预测或者窃取(网络嗅探/XSS攻击)等方式获取用户Session  ID后,使用该Session ID登录目标账号的攻击方法。 | 1.更改Session名称。PHP中Session的默认名称是PHPSESSID,此变量会保存在Cookie中,如果攻击者不分析站点,就不能猜到Session名称,阻挡部分攻击。    2.关闭透明化Session ID。透明化Session ID指当浏览器中的Http请求没有使用Cookie来存放Session  ID时,Session ID则使用URL来传递。    3.设置HttpOnly。通过设置Cookie的HttpOnly为true,可以防止客户端脚本访问这个Cookie,从而有效的防止XSS攻击。    4.关闭所有phpinfo类dump request信息的页面。    5.使用User-Agent检测请求的一致性。但有专家警告不要依赖于检查User-Agent的一致性。这是因为服务器群集中的HTTP代理服务器会对User-Agent进行编辑,而本群集中的多个代理服务器在编辑该值时可能会不一致。 |
| 认证与会话管理 | 会话固定漏洞 | 中危 | 会话固定也可以看成是会话劫持的一种类型,原因是会话固定的攻击的主要目的同样是获得目标用户的合法会话,不过会话固定还可以是强迫受害者使用攻击者设定的一个有效会话,以此来获得用户的敏感信息。 | 1.用户登录时生成新的Session  ID。如果攻击者使用的会话标识符不是有效的,那么这种方式将会非常有效。如果不是有效的会话标识符,服务器将会要求用户重新登录。如果攻击者使用的是有效的Session  ID,那么还可以通过校验的方式来避免攻击。    2.大部分防止会话劫持的方法对会话固定攻击同样有效。如设置HttpOnly,关闭透明化Session  ID,User-Agent验证,Token校验等。 |
| 认证与会话管理 | 会话cookie中缺少HttpOnly属性 | 低危 | 如不设置此属性,攻击者可配合跨站脚本盗取cookie。设置此属性,即使有跨站漏洞存在,也很难利用。 | 在服务器端设置cookie的HttpOnly属性为真。 |
| 认证与会话管理 | 未禁用密码表单自动完成属性 | 低危 | 自动填写未对密码字段禁用的  HTML 属性。 | 将“autocomplete”属性正确设置为“off”。 |
| 认证与会话管理 | 会话cookie中缺少secure属性 | 低危 | 可能会窃取在加密的会话期间发送的用户和会话信息。 | 服务器开启了Https时,cookie的Secure属性应设为true |
| 逻辑类 | 未授权访问 | 高危 | 后台页面或者其他用户页面没有做session认证,导致可以无需登录,直接访问页面。 | 对未授权访问页面做session认证,严格审核后台功能页面的访问权限,若为未登录用户则拒绝访问。 |
| 逻辑类 | 越权漏洞 | 高危 | 水平越权:攻击者能够执行与自己同级别权限用户的操作    垂直越权:攻击者能够执行高级别权限用户的操作,比如管理员的相关操作。 | 1.设计严格的权限控制系统,对于每个请求和URL都要进行校验和权限确认,防止非法请求被执行;    2.默认情况下,应该拒绝执行所有访问权限,也就是说缺省不给用户任何权限,防止攻击者利用缺省权限执行攻击等;    3.对于每个功能的访问,都要有明确的角色授权,防止黑客利用不完善的访问控制缺陷造成不必要的损失;    或者是实现Web访问的IP白名单列表,或者是只允许属于管理员范围权利的指定IP访问等等。 |
| 逻辑类 | 任意用户密码重置漏洞 | 高危 | 系统在处理重置密码请求时使用本地验证方法,未在服务端处理,造成用户可在本地修改数据包,绕过系统身份验证,达到重置任意账号的目的。 | 针对任意用户密码重置漏洞,建议在服务器端加强逻辑验证。 |
| 逻辑类 | 验证码漏洞 | 高危 | 验证码可以一次多用,导致可以暴力破解;    验证码没有限定次数和时间,导致可以无限制的发送验证码。 | 设置验证码登录一次,变换一次,防止暴力破解;设置验证码120秒只发送一次。 |
| 逻辑类 | 暴力破解漏洞 | 中危 | 登录入口没有验证码或者验证码可以一次多用,导致可以暴力破解。攻击者可能试图尝试每个可能的字母,数字和符号组合,或使用一些暴力破解工具进行猜测,直到它发现了一个正确的组合,从而进入登录页面做进一步深度非法攻击。 | 1.增加验证码,使之登录失败一次,验证码变换一次。    2.针对密码猜测,建议控制错误登录次数,以防止暴力破解。同一用户如果5分钟内登录失败6次,禁用此用户登录30分钟。 |
| 逻辑类 | 用户名猜解漏洞 | 中危 | 通过登录信息可以判断有无此用户,可以对用户名进行猜解。 | 使用模糊的错误登录提示,如:用户名或密码错误。 |
| 逻辑类 | 短信轰炸漏洞 | 中危 | 短信轰炸是由于系统设计缺陷可无限制发送短信验证码给客户端,攻击者可利用该漏洞对任意手机号码进行短信轰炸,对公司造成不良影响和运行安全风险。 | 建议针对发送短信验证码接口加强权限控制,在服务端限制单位时间内发送短信次数。 |
| 其它 | Webview远程代码执行漏洞 | 高危 | WebView组件中的addJavascriptInterface方法用于实现本地Java和JavaScript的交互,但是该函数并没有对方法调用进行限制,导致攻击者可以调用任何JAVA类,最终导致JavaScript代码对设备进行任意攻击 | 建议不使用addJavascriptInterface接口,对于Android  API  Level为17或者以上的Android系统,Google规定允许被调用的函数,必须在Java的远程方法上面声明一个@JavascriptInterface注解;在使用js2java的bridge时候,需要对每个传入的参数进行验证,避免恶意代码的攻击。 |
| 其它 | 代码动态加载安全检测 | 高危 | 使用DexClassLoader或PathClassLoader动态加载dex文件、apk文件、jar文件时,如果这些文件存储在可被其他应用读写的目录中(比如sdcard),同时没有对外部加载的文件进行完整性校验,导致应用可能会被恶意代码注入并执行。 | 将所需要动态加载的文件放置在apk内部,或应用私有目录中;如果应用必须要把所加载的文件放置在可被其他应用读写的目录中(比如sdcard),建议对不可信的加载源进行完整性校验和白名单处理,以保证不被恶意代码注入 |
| 其它 | 应用签名未校验风险 | 高危 | 应用签名未校验,攻击者可伪造app程序。 | 增加程序本地签名校验及云端的签名校验 |
| 其它 | 篡改和二次打包风险 | 高危 | 对移动应用进行破解、再篡改或插入恶意代码,最后重新打包生成一个新应用的过程,恶意程序通过插入广告、木马、病毒的方式窃取用户隐私、吸资扣费、耗费流量等。 | 增加程序本地签名校验及云端的签名校验。 |
| 其它 | Java代码反编译风险 | 中危 | 可通过反编译工具获取java源代码,攻击者可获取源码信息执行更深入的渗透攻击。 | 1.隔离Java程序;    2.对Class文件进行加密;    3.代码混淆。 |
| 其它 | 资源文件泄露风险 | 中危 | 泄露的js文件如果被读取,可能会造成功能逻辑泄露,如果被篡改,可能被植入钓鱼页面或恶意代码,造成用户的敏感信息泄露 | 对资源文件(.js)进行加密保护,防止资源文件泄露。 |
| 其它 | Webview明文存储密码风险 | 中危 | 在使用WebView的过程中忽略了WebView  setSavePassword,当用户选择保存在WebView中输入的用户名和密码,则会被明文保存到应用数据目录的databases/webview.db中。如果手机被root就可以获取明文保存的密码,造成用户的个人敏感数据泄露。 | 使用WebView.getSettings().setSavePassword(false)来禁止保存密码 |
| 其它 | 明文数字证书风险 | 中危 | 明文存储的数字证书如果被篡改,可能会造成客户端与服务端之间的传输数据被截获并解密,造成用户信息泄露 | 对数字证书文件(.cer)进行加密,避免证书文件泄露 |

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

ttps://bbs.csdn.net/topics/618653875)

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/我家小花儿/article/detail/657959
推荐阅读
相关标签
  

闽ICP备14008679号