漏洞掃描報告第2頁,共14頁常見漏洞及其解決方案SQL注入漏洞漏洞描述：SQL注入被廣泛用于非法入侵網站服務器，獲取網站控制權。它是應用層上的一種安全漏洞。通常在設計存在缺陷的程序中，對用戶輸入的數據沒有做好過濾，導致惡意用戶可以構造一些SQL語句讓服務器去執行，從而導致數據庫中的數據被竊取，篡改，刪除，以及進一步導致服務器被入侵等危害。SQL注入的攻擊方式多種多樣，較常見的一種方式是提前終止原SQL語句，然后追加一個新的SQL命令。為了使整個構造的字符串符合SQL語句語法，攻擊者常用注釋標記如“--”（注意空格）來終止后面的SQL字符串。執行時，此后的文本將被忽略。如某個網站的登錄驗證SQL查詢代碼為strSQL="SELECT*FROMusersWHEREname=‘”+userName+“’andpw=’”+passWord+”’”，其中userName和passWord是用戶輸入的參數值，用戶可以輸入任何的字符串。如果用戶輸入的userName=admin’--，passWord為空，則整個SQL語句變為SELECT*FROMusersWHEREname=’admin’--‘andpw=’’，等價于SELECT*FROMusersWHEREname=’admin’，將繞過對密碼的驗證，直接獲得以admin的身份登錄系統。漏洞危害：? 數據庫信息泄漏，例如個人機密數據，帳戶數據，密碼等。? 刪除硬盤數據，破壞整個系統的運行。? 數據庫服務器被攻擊，系統管理員帳戶被竄改（例如ALTERLOGINsaWITHPASSWORD='xxxxxx'）。? 取得系統較高權限后，可以篡改網頁以及進行網站掛馬。? 經由數據庫服務器提供的操作系統支持，讓黑客得以修改或控制操作系統，植入后門程序（例如xp_cmdshell"netstopiisadmin"可停止服務器的IIS服務）。解決方案：? 輸入過濾，對于整數，判斷變量是否符合[0-9]的值；其他限定值，也可以進行合法性校驗；對于字符串，對SQL語句特殊字符進行轉義(單引號轉成兩個單引號，雙引號轉成兩個雙引號)。MySQL也有類似的轉義函數mysql_escape_string和mysql_real_escape_string。Asp的過濾參考此頁面/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx? 在設計應用程序時，完全使用參數化查詢（ParameterizedQuery）來設計數據訪問功能。? 使用其他更安全的方式連接SQL數據庫。例如已修正過SQL注入問題的數據庫連接組件，例如ASP.NET的SqlDataSource對象或是LINQtoSQL，安全API庫如ESAPI。? 使用SQL防注入系統。? 嚴格限制數據庫操作的權限。普通用戶與系統管理員用戶的權限要有嚴格的區分。建立專門的賬戶，同時加以權限限制，滿足應用的需求即可。HTTPHOST頭部攻擊漏洞描述：一般通用web程序是如果想知道網站域名不是一件簡單的事情，如果用一個固定的URI來作為域名會有各種麻煩。開發人員一般是依賴HTTPHostheader（比如在php里是_SERVER["HTTP_HOST"]），而這個header很多情況下是靠不住的。而很多應用是直接把這個值不做html編碼便輸出到了頁面中，比如：<linkhref="http://_SERVER['HOST']"(Joomla)還有的地方還包含有secretkey和token，<ahref="http://_SERVER['HOST']?token=topsecret">(Django,Gallery,others)這樣處理問題一般會很容易遭遇到兩種常見的攻擊：緩存污染和密碼重置。緩存污染是指攻擊者通過控制一個緩存系統來將一個惡意站點的頁面返回給用戶。密碼重置這種攻擊主要是因為發送給用戶的內容是可以污染的，也就是說可以間接的劫持郵件發送內容。參考：/papers/1383管理后臺漏洞描述：由于http請求的特點，hostheader的值其實是不可信的。唯一可信的只有SERVER_NAME，這個在Apache和Nginx里可以通過設置一個虛擬機來記錄所有的非法hostheader。在Nginx里還可以通過指定一個SERVER_NAME名單，Apache也可以通過指定一個SERVER_NAME名單并開啟UseCanonicalName選項。建議兩種方法同時使用。網站后臺管理系統主要是用于對網站前臺的信息管理，如文字、圖片、影音、和其他日常使用文件的發布、更新、刪除等操作，同時也包括會員信息、訂單信息、訪客信息的統計和管理。將管理后臺暴露在外網，存在一定的安全風險用戶認證信息明文傳輸漏洞描述：盡量將管理后臺放在內網。并做好用戶的訪問權限控制，保證登錄密碼的復雜性。用戶認證信息不是通過https加密信道傳輸，導致用戶名密碼等敏感信息泄露。解決方案:以https方式傳輸此檢測誤報可能性較大，需要人工驗證。可能存在CSRF攻擊漏洞描述：CSRF是CrossSiteRequestForgery的縮寫（也縮寫為XSRF），直譯過來就是跨站請求偽造的意思，也就是在用戶會話下對某個CGI做一些GET/POST的事情——這些事情用戶未必知道和愿意做，你可以把它想做HTTP會話劫持。解決方案:在Web應用程序側防御CSRF漏洞，一般都是利用referer、token或者驗證碼jQuery是一個兼容多瀏覽器的javascript庫,經探測，被檢測系統使用的jquery版本存在XSS漏洞。詳情請參看：http://ma.la/jquery_xss//2011/09/01/jquery-1-6-3-released/jQueryXSS漏洞描述：jQuery是一個兼容多瀏覽器的javascript庫,經探測，被檢測系統使用3．輸出編碼：一：用戶輸入的參數值會展現在HTML正文中或者屬性值中例如：1）html正文中<ahref=''>Un-trustedinput</a>2）屬性值：<inputname="searchword"value="Un-trustedinput">此時需要將紅色的不可信內容中做如下的轉碼(即將<>‘“`轉成html實體)：<--><>-->>'-->'"-->"`-->`

(反引號)二：用戶輸入落在<script>的內容中，例如：<script>…varmymsg="Un-trustedinput";varuin=Un-trustedinput;…</script>最好不要讓用戶的輸入落在<script>用戶輸入</script>這里，如果無法避免的話，建議嚴格限制用戶的輸入，比如輸入為整數時，要驗證輸入是否只包含數字。當輸入為字符串時，將字符串用單引號或雙引號包含起來，并且對用戶的輸入字符中包含的單雙引號過濾或轉換為HTML實體。4．編碼時使用ESAPI庫或其他antixss庫。5．針對UTF-7XSS，應指定網頁字符集編碼。使用'Content-Type'頭或<meta>標記。6．針對MHTMLXSS，將url參數值中的%0d、%0a、%0D、%0A刪除。嚴格限制URL參數輸入值的格式，不能包含不必要的特殊字符（0d、%0a等）。如確實需要換行，將其轉換為<br>輸出。暗鏈漏洞描述：暗鏈在這里通俗的說，網站鏈接中的一種，也稱為黑鏈。如果再通俗的說一點“暗鏈”就是看不見的網站鏈接，“暗鏈”在網站中的鏈接做的非常隱蔽，它和友情鏈接有相似之處，可以有效地提高PR值。黑客取得網站控制權后，往往通過在被控制網站的首頁放置暗鏈，從而達到欺騙搜索引擎的效果，使得自身網站搜索引擎權重大幅提高，在搜索引擎中的排名大幅上升。但這并不是無代價的，受到損失最大的就是被控制的網站，往往隨著暗鏈所指向的網站的權重不斷提高，存在暗鏈的網站的權重將不斷下降，搜索引擎排名也必然一再下降，嚴重影響網站的影響力。另一方面黑客往往放置的鏈接大多為私服、博彩、色情等非法網站的鏈接，對于被暗鏈網站來說，這無疑也有著巨大的風險。解決方案：刪除暗鏈信息，對系統進行徹底的安全檢查ASP.NET用加密的方式保護敏感信息，但ASP.NET的加密實現方式存在漏洞，可以被解密，所以存在信息泄漏的漏洞。ASP.NET信息泄漏漏洞描述：ASP.NET由于加密填充驗證過程中處理錯誤不當，導致存在一個信息披露漏洞。成功利用此漏洞的攻擊者可以讀取服務器加密的數據，例如視圖狀態。此漏洞還可以用于數據篡改，如果成功利用，可用于解密和篡改服務器加密的數據。雖然攻擊者無法利用此漏洞來執行代碼或直接提升他們的用戶權限，但此漏洞可用于產生信息，這些信息可用于試圖進一步危及受影響系統的安全。解決方案：安裝微軟的MS10-070補丁。InternetInformationServices（IIS，互聯網信息服務）是由微軟公司提供的基于運行MicrosoftWindows的互聯網基本服務。MicrosoftIIS文件枚舉漏洞漏洞描述：MicrosoftIIS在實現上存在文件枚舉漏洞，攻擊者可利用此漏洞枚舉網絡服務器根目錄中的文件。解決方案：目前廠商已經發布了升級補丁以修復這個安全問題，請到廠商的主頁下載：/technet/security//en-us/library/cc959352.aspx此檢測誤報可能性較大，需要人工驗證。CSRF漏洞描述：CSRF是CrossSiteRequestForgery的縮寫（也縮寫為XSRF），直譯過來就是跨站請求偽造的意思，也就是在用戶會話下對某個CGI做一些GET/POST的事情——這些事情用戶未必知道和愿意做，你可以把它想做HTTP會話劫持。解決方案：在Web應用程序側防御CSRF漏洞，一般都是利用referer、token或者驗證碼測試發現WEB程序存在文件上傳功能，文件上傳可能會存在重大的安全隱患，在特定情況下會導致攻擊者上傳執行任意代碼。HTTPHOST頭部攻擊漏洞描述：一般通用web程序是如果想知道網站域名不是一件簡單的事情，如果用一個固定的URI來作為域名會有各種麻煩。開發人員一般是依賴HTTPHostheader（比如在php里是_SERVER["HTTP_HOST"]），而這個header很多情況下是靠不住的。而很多應用是直接把這個值不做html編碼便輸出到了頁面中，比如：<linkhref="http://_SERVER['HOST']"(Joomla)還有的地方還包含有secretkey和token，<ahref="http://_SERVER['HOST']?token=topsecret">(Django,Gallery,others)這樣處理問題一般會很容易遭遇到兩種常見的攻擊：緩存污染和密碼重置。緩存污染是指攻擊者通過控制一個緩存系統來將一個惡意站點的頁面返回給用戶。密碼重置這種攻擊主要是因為發送給用戶的內容是可以污染的，也就是說可以間接的劫持郵件發送內容。參考：/papers/1383解決方案：由于http請求的特點，hostheader的值其實是不可信的。唯一可信的只有SERVER_NAME，這個在Apache和Nginx里可以通過設置一個虛擬機來記錄所有的非法hostheader。在Nginx里還可以通過指定一個SERVER_NAME名單，Apache也可以通過指定一個SERVER_NAME名單并開啟UseCanonicalName選項。建議兩種方法同時使用。此檢測誤報可能性較大，需要人工驗證。DOMXSS漏洞描述：發生在客戶端DOM（DocumentObjectModel文檔對象模型）DOM是一個與平臺、編程語言無關的接口，它允許程序或腳本動態地訪問和更新文檔內容、結構和樣式，處理后的結果能夠成為顯示頁面的一部分。DOM中有很多對象，其中一些是用戶可以操縱的，如uRI，location，refelTer等。客戶端的腳本程序可以通過DOM動態地檢查和修改頁面內容，它不需要提交數據到服務器端，而從客戶端獲得DOM中的數據在本地執行，如果DOM中的數據沒有經過嚴格確認，就會產生DOMXSS漏洞解決方案：1.對輸入數據嚴格匹配，比如只接受數字輸入的就不能輸入其他字符。不僅要驗證數據的類型，還要驗證其格式、長度、范圍和內容。2.輸入過濾，應該在服務器端進行。PHP在設置magic_quotes_gpc為On的時候，會自動轉義參數中的單雙引號，但這不足以用于XSS漏洞的防御，仍然需要在代碼級別防御。3.輸出編碼，一：用戶輸入的參數值會展現在HTML正文中或者屬性值中例如：1）html正文中<ahref=''>Un-trustedinput</a>2）屬性值：<inputname="searchword"value="Un-trustedinput">此時需要將紅色的不可信內容中做如下的轉碼(即將<>‘“`轉成html實體)：<--><>-->>'-->'"-->"`-->`(反引號)二：用戶輸入落在<script>的內容中例如:<script>…varmymsg="Un-trustedinput";varuin=Un-trustedinput;…</script>最好不要讓用戶的輸入落在<script>用戶輸入</script>這里，如果無法避免的話，建議嚴格限制用戶的輸入，比如輸入為整數時，要驗證輸入是否只包含數字。當輸入為字符串時，將字符串用單引號或雙引號包含起來，并且對用戶的輸入字符中包含的單雙引號過濾或轉換為HTML實體。4.編碼時使用ESAPI庫或其他antixss庫。jQuery是一個兼容多瀏覽器的javascript庫,經探測，被檢測系統使用的jquery版本存在XSS漏洞。詳情請參看：http://ma.la/jquery_xss//2011/09/01/jquery-1-6-3-released/ApacheTomcat版本低于4.1.37漏洞描述：更新ApacheTomcat到最新版本該漏洞是通過版本號探測的，可能存在誤報。該版本ApacheTomcat存在多處安全漏洞，請更新到最新版本。CVE-2008-0128,CVE-2008-1232,CVE-2008-2370參考：/CVE-2008-0128.html/CVE-2008-1232.html/CVE-2008-2370.html解決方案：更新ApacheTomcat到最新版本目錄瀏覽漏洞描述：文件信息、敏感信息的泄露，為進一步的針對性攻擊提供了信息如：/databackup/若存在目錄瀏覽，則數據庫備份文件暴露就可被任意下載解決方案：你必須確保此目錄中不包含敏感信息。可以在Web服務器配置中限制目錄列表。建議修正所使用的Web服務器軟件的目錄權限設置。例如，在IIS中取消目錄瀏覽：在nginx中取消目錄瀏覽：去掉配置文件里面的目錄瀏覽項：autoindexon;在apache中取消目錄瀏覽：在Apache配置文件中的目錄配置中的“Indexes”刪除或者改為“-Indexes”發現設定的敏感關鍵字信息發現敏感關鍵字漏洞描述：發現設定的敏感關鍵字信息解決方案：用戶認證信息不是通過https加密信道傳輸，導致用戶名密碼等敏感信息泄露。WEBDAV開啟漏洞描述：WebDAV是一種基于HTTP1.1協議的通信協議.它擴展了HTTP1.1，在GET、POST、HEAD等幾個HTTP標準方法以外添加了一些新的方法。使應用程序可直接對WebServer直接讀寫，并支持寫文件鎖定(Locking)及解鎖(Unlock)，還可以支持文件的版本控制。當開啟了WebDAV后，并且配置了目錄可寫，便會產生很嚴重的安全問題。1禁用WebDAV。2如果要使用WebDAV的話，加上權限驗證。OPTIONS方法是用于請求獲得由Request-URI標識的資源在請求/響應的通信過程中可以使用的功能選項。通過這個方法，客戶端可以在采取具體資源請求之前，決定對該資源采取何種必要措施，或者了解服務器的性能。開啟該方法有可能泄漏一些敏感信息，為攻擊者發起進一步攻擊提供信息。解決方案：建議關閉該功能用戶認證信息明文傳輸漏洞描述：用戶認證信息不是通過https加密信道傳輸，導致用戶名密碼等敏感信息泄露。解決方案：以https方式傳輸此檢測誤報可能性較大，需要人工驗證。ApacheStruts類加載器安全繞過漏洞漏洞描述：ApacheStruts框架是一個一個基于JavaServlets,JavaBeans,和JavaServerPages(JSP)的Web應用框架的開源項目。ApacheStruts存在安全繞過漏洞，攻擊者利用漏洞繞過某些安全限制和執行未經授權的操作。參考：/flaw/show/CNVD-2014-02702解決方案：下載補丁進行修復：/Cookie沒有設置HttpOnlyCOOKIE的HTTPOnlyflag沒有設置，對于很多只依賴于cookie驗證的網站來說，HttpOnlycookies是一個很好的解決方案，在支持HttpOnlycookies的瀏覽器中（IE6以上，FF3.0以上），javascript是無法讀取和修改HttpOnlycookies，這樣可讓網站用戶驗證更加安全解決方案：盡可能給cookie加上HTTPOnly屬性發現文件上傳點漏洞描述：WEB程序存在文件上傳功能，文件上傳可能會存在重大的安全隱患，在特定情況下會導致攻擊者上傳執行任意代碼。存在疑似XSS漏洞描述：Web站點把用戶的輸入未做過濾就直接輸出到頁面，參數中的特殊字符打破了HTML頁面的原有邏輯，黑客可以利用該漏洞執行任意HTML/JS代碼。這里所說的用戶輸入包括用戶提交的GET、POST參數，還包含HTTPReferrer頭，甚至是用戶的Cookie。跨站腳本的危害：1.帳號劫持-攻擊者可以在會話cookie過期之前劫持用戶的會話，并以用戶的權限執行操作，如發布數據庫查詢并查看結果。2.惡意腳本執行-用戶可能在不知情的情況下執行攻擊者注入到動態生成頁面中的JavaScript、VBScript、ActiveX、HTML甚至Flash內容。3.蠕蟲傳播-通過Ajax應用，與CSRF漏洞結合，跨站腳本可以以類似于病毒的方式傳播。跨站腳本負載可以自動將其自身注入到頁面中，并通過更多的跨站腳本輕易的重新注入同一主機，而所有這些都無需手動刷新頁面。因此，跨站腳本可以使用復雜的HTTP方式發送多個請求，并以用戶不可視的方式自我傳播。4.信息竊取-攻擊者可以通過重新定向和偽造站點將用戶連接到攻擊者所選擇的惡意服務器并獲得用戶所輸入的任何信息。5.拒絕服務-通常攻擊者通過在包含有跨站腳本漏洞的站點上使用畸形的顯示請求，就可以導致主機站點反復的自我查詢，出現拒絕服務的情況。6.瀏覽器重新定向-在某些使用幀的站點上，用戶可能在實際上已經被重新定向到惡意站點的情況下誤導為仍處在原始站點上，因為瀏覽權地址欄中的URL仍保持不變。這是由于沒有重新定向整個頁面，而只是執行JavaScript的幀。7.控制用戶設置-攻擊者可以惡意更改用戶設置。解決方案:1.對輸入數據嚴格匹配，比如只接受數字輸入的就不能輸入其他字符。不僅要驗證數據的類型，還要驗證其格式、長度、范圍和內容。2.輸入過濾，應該在服務器端進行。PHP在設置magic_quotes_gpc為On的時候，會自動轉義參數中的單雙引號，但這不足以用于XSS漏洞的防御，仍然需要在代碼級別防御。3.輸出編碼，一：用戶輸入的參數值會展現在HTML正文中或者屬性值中例如：1）html正文中<ahref=''>Un-trustedinput</a>2）屬性值：<inputname="searchword"value="Un-trustedinput">此時需要將紅色的不可信內容中做如下的轉碼(即將<>‘“`轉成html實體)：<--><>-->>'-->'"-->"`-->`(反引號)敏感文件泄露漏洞危害：例如備份文件、打包文件、系統接口、保密文檔、管理后臺這些文件可能會泄漏一些敏感信息，幫助惡意用戶準備進一步攻擊。解決方案:在生產系統中刪除或限制訪問這些文件；用戶認證信息不是通過https加密信道傳輸，導致用戶名密碼等敏感信息泄露。以https方式傳輸此檢測誤報可能性較大，需要人工驗證。任意頁面跳轉漏洞描述：Web應用程序接收到用戶提交的URL參數后，沒有對參數做“可信任URL”的驗證，就向用戶瀏覽器返回跳轉到該URL的指令，例如：/redirect.do?url=危害：被用來實施釣魚攻擊解決方案:限制跳轉域名或對跳轉進行驗證，如白名單，黑名單限制，或帶上token參數。發現設定的敏感關鍵字信息UTF-7XSS漏洞描述：指由于沒有指定頁面編碼，導致瀏覽器將編碼以UTF-7解析，形成XSS。解決方案：應指定網頁字符集編碼。使用'Content-Type'頭或<meta>標記Json劫持漏洞漏洞描述：JSON(JavaScriptObjectNotation)是一種輕量級的數據交換格式。易于人閱讀和編寫。同時也易于機器解析和生成。但是如果這種交互的方式用來傳遞敏感的數據，并且傳輸的時候沒有做太多安全性控制的話將導致安全漏洞，根據敏感信息的不同導致會導致應用遭受不同級別的攻擊。解決方案：1referer的來源限制，利用前端referer的不可偽造性來保障請求數據的應用來源于可信的地方，某些情況下（如存在xss）可能導致被繞過。

2token的加入，利用token對調用者的身份進行認證，這種方式對于調用者的身份會要求力度較細，但是一旦出現xss也可能導致前端Token的泄露，從而導致保護失效。Nginx遠程安全漏洞漏洞危害：CVE:CVE-2013-2070CNNVD:CNNVD-201305-235nginx是一款由俄羅斯程序員IgorSysoev所開發輕量級的網頁服務器、反向代理服務器以及電子郵件（IMAP/POP3）代理服務器。Nginx中存在遠程安全漏洞。攻擊者可利用該漏洞造成拒絕服務或獲得敏感信息。解決方案：目前廠商已經發布了升級補丁以修復此安全問題，補丁獲取鏈接：

/nginxURIProcessing安全繞過漏洞漏洞危害：CVE:CVE-2013-4547CNNVD:CNNVD-201311-336nginx是俄羅斯軟件開發者IgorSysoev所研發的一款HTTP和反向代理服務器，也可以作為郵件代理服務器。nginx0.8.41至1.4.3版本和1.5.7之前的1.5.x版本中存在安全漏洞，當程序驗證請求URIs包含未轉義的空格字符時存在錯誤。遠程攻擊者可利用該漏洞繞過既定的限制。解決方案：目前廠商已經發布了升級補丁以修復此安全問題，補丁獲取鏈接：

/pipermail/nginx-announce/2013/000125.htmlNginx‘access.log’不安全文件權限漏洞漏洞危害：CVE:CVE-2013-0337CNNVD:CNNVD-201302-530nginx是多平臺的HTTP服務器和郵件代理服務器。Nginx中的access.log中存在不安全文件權限漏洞。本地攻擊者利用該漏洞獲得訪問到全局可讀的日志文件權限進而從中提取敏感信息，信息的獲得有助于其他攻擊。解決方案：內網地址信息泄露.漏洞危害：發現頁面存在內網地址信息泄露風險，可能會對進一步的黑客攻擊提供信息。解決方案：外網生產環境去除內網地址信息。SSLv3POODLE漏洞漏洞危害：這個漏洞和之前的B.E.A.S.T(BrowserExploitAgainstSSLTLS)非常相似，但是目前還沒有可靠的解決辦法，除非完全禁用SSLv3的支持。簡單的說，攻擊者可獲取你加密流中的明文數據。解決方案：Apache在Apache的SSL配置中禁用SSLv3和SSLv3：SSLProtocolall-SSLv2-SSLv3Nginx在Nginx只允許使用TLS協議：ssl_protocolsTLSv1TLSv1.1TLSv1.2;ApacheHTTPServer拒絕服務漏洞漏洞危害：該漏洞是通過版本號探測的，可能存在誤報ApacheHTTPServer是一款開源的流行的HTTPD服務程序.當處理包含大量Ranges頭的HTTP請求時，ByteRange過濾器存在一個錯誤，攻擊者可以向服務器發送特制HTTP請求，消耗大量內存，造成應用程序崩潰CVE-2011-3192解決方案：更新Apache到最新版本</p>點擊劫持：缺少X-Frame-Options頭漏洞危害：Clickjacking（點擊劫持）是由互聯網安全專家羅伯特·漢森和耶利米·格勞斯曼在2008年首創的。是一種視覺欺騙手段，在web端就是iframe嵌套一個透明不