常見網站安全漏洞處理方法
htaccess文件可讀
修改apache配置文件httpd.conf
AccessFileName .htaccess
發現PHPINFO信息泄露漏洞
一般是網站目錄下放置了phpinfo函數文件,刪除phpinfo.php
Tomcat示例文件未刪除
刪除tomcat默認站點下的index.jsp
PHPSESSID已知會話確認攻擊
apache環境在根目錄下建立.htaccess文件,設置
<IfModule php5_module>
php_value session.cookie_httponly true
</IfModule>
iis7及以上環境在根目錄下建立web.config文件,設置
<?xml version="1.0"?>
<configuration>
<system.web>
<httpCookies httpOnlyCookies="true" />
</system.web>
</configuration>
Flash配置不當漏洞
修改根目錄crossdomain.xml,將domain中的域名更換成自己的域名,多個域名可以寫多行
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*.test1.com" />
<allow-access-from domain="*.test2.com" />
</cross-domain-policy>
跨站腳本Xss漏洞/sql注入漏洞/代碼執行漏洞
asp程序
1.下載http://downinfo.myhostadmin.net/vps/asp.zip
2.解壓后,將文件放到公共文件(如數據庫的連接文件)所在目錄
3.在公共文件頁面中加入代碼
<!--#include file="waf.asp"-->
php:
1.下載http://downinfo.myhostadmin.net/vps/360webscan.zip
2.解壓后,整個文件夾放到網站根目錄
3.在網站的一個公用文件(如數據庫的連接文件)中加入代碼:
if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){
require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');
} // 注意文件路徑
常用PHP建站系統的公用頁面
PHPCMS : \phpcms\base.php
PHPWIND: \phpwind\conf\baseconfig.php
DEDECMS: \data\common.inc.php
Discuz: \config\config_global.php
Wordpress: \wp-config-sample.php
ECshop: \data\config.php
Metinfo: \include\head.php
HDwiki: \config.php
Swfupload.swf跨站腳本攻擊漏洞
http://downinfo.myhostadmin.net/vps/swfupload.swf.zip
下載壓縮包解壓替換Swfupload.swf,替換前備份自己的文件
以下是swfupload的源碼文件,如果你自己有開發能力,也可以自己重新編譯打包
http://downinfo.myhostadmin.net/vps/swfupload.swf.rar
其他一些開源程序漏洞
請聯系程序官方更新升級補丁至最新版
來源:西部數碼
