常見(jiàn)安全漏洞的處理及解決方法參考模板

1、相關(guān)名詞解釋、危害與整改建議1、 網(wǎng)站暗鏈名詞解釋“暗鏈”就是看不見(jiàn)的網(wǎng)站鏈接，“暗鏈”在網(wǎng)站中的鏈接做的非常隱蔽，短時(shí)間內(nèi)不易被搜索引擎察覺(jué)。它和友情鏈接有相似之處，可以有效地提高PR值。但要注意一點(diǎn)PR值是對(duì)單獨(dú)頁(yè)面，而不是整個(gè)網(wǎng)站。危害：網(wǎng)站被惡意攻擊者插入大量暗鏈，將會(huì)被搜索引擎懲罰，降低權(quán)重值；被插入大量惡意鏈接將會(huì)對(duì)網(wǎng)站訪問(wèn)者造成不良影響；將會(huì)協(xié)助惡意網(wǎng)站（可能為釣魚(yú)網(wǎng)站、反動(dòng)網(wǎng)站、賭博網(wǎng)站等）提高搜索引擎網(wǎng)站排名?？杀徊迦氚垫湹木W(wǎng)頁(yè)也意味著能被篡改頁(yè)面內(nèi)容。整改建議：加強(qiáng)網(wǎng)站程序安全檢測(cè)，及時(shí)修補(bǔ)網(wǎng)站漏洞；對(duì)網(wǎng)站代碼進(jìn)行一次全面檢測(cè)，查看是否有其余惡意程序存在；建議重新安裝服務(wù)器

2、及程序源碼，防止無(wú)法到檢測(cè)深度隱藏的惡意程序，導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門(mén)進(jìn)入。2、網(wǎng)頁(yè)掛馬名詞解釋網(wǎng)頁(yè)掛馬是通過(guò)在網(wǎng)頁(yè)中嵌入惡意程序或鏈接，致使用戶計(jì)算機(jī)在訪問(wèn)該頁(yè)面時(shí)觸發(fā)執(zhí)行惡意腳本，從而在不知情的情況下跳轉(zhuǎn)至“放馬站點(diǎn)”（指存放惡意程序的網(wǎng)絡(luò)地址，可以為域名，也可以直接使用IP地址），下載并執(zhí)行惡意程序。危害：利用IE瀏覽器漏洞，讓IE在后臺(tái)自動(dòng)下載黑客放置在網(wǎng)站上的木馬并運(yùn)行（安裝）這個(gè)木馬，即這個(gè)網(wǎng)頁(yè)能下載木馬到本地并運(yùn)行（安裝）下載到本地電腦上的木馬，整個(gè)過(guò)程都在后臺(tái)運(yùn)行，用戶一旦打開(kāi)這個(gè)網(wǎng)頁(yè)，下載過(guò)程和運(yùn)行（安裝）過(guò)程就自動(dòng)開(kāi)始，從而實(shí)現(xiàn)控制訪問(wèn)者電腦或安裝惡意軟件的目的

3、。整改建議：加強(qiáng)網(wǎng)站程序安全檢測(cè)，及時(shí)修補(bǔ)網(wǎng)站漏洞；對(duì)網(wǎng)站代碼進(jìn)行一次全面檢測(cè)，查看是否有其余惡意程序存在；建議重新安裝服務(wù)器及程序源碼，防止有深度隱藏的惡意程序無(wú)法檢測(cè)到，導(dǎo)致重新安裝系統(tǒng)后攻擊者仍可利用后門(mén)進(jìn)入。1 / 53、SQL注入名詞解釋SQL注入就是通過(guò)把SQL命令插入到Web表單提交或輸入域名或頁(yè)面請(qǐng)求的查詢(xún)字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。危害：可能會(huì)查看、修改或刪除數(shù)據(jù)庫(kù)條目和表。嚴(yán)重的注入漏洞還可能以當(dāng)然數(shù)據(jù)庫(kù)用戶身份遠(yuǎn)程執(zhí)行操作系統(tǒng)命令。整改建議：補(bǔ)救方法在于對(duì)用戶輸入進(jìn)行清理。通過(guò)驗(yàn)證用戶輸入，保證其中未包含危險(xiǎn)字符，便可能防止惡意的用戶導(dǎo)致應(yīng)用程序執(zhí)行計(jì)

4、劃外的任務(wù)，例如：?jiǎn)?dòng)任意SQL 查詢(xún)、嵌入將在客戶端執(zhí)行的Javascript代碼、運(yùn)行各種操作系統(tǒng)命令，等等。4、跨站點(diǎn)腳本名詞解釋跨站點(diǎn)腳本編制攻擊是一種隱私違例，可讓攻擊者獲取合法用戶的憑證，并在與特定 Web 站點(diǎn)交互時(shí)假冒這位用戶。危害：可能會(huì)竊取或操縱客戶會(huì)話和cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)。整改建議：應(yīng)對(duì)跨站點(diǎn)腳本編制的主要方法有兩點(diǎn)：不要信任用戶的任何輸入，盡量采用白名單技術(shù)來(lái)驗(yàn)證輸入?yún)?shù)；輸出的時(shí)候?qū)τ脩籼峁┑膬?nèi)容進(jìn)行轉(zhuǎn)義處理。5、弱口令名詞解釋弱口令指的是僅包含簡(jiǎn)單數(shù)字和字母的口令，例如“123”、“abc

5、”等，因?yàn)檫@樣的口令很容易被別人破解，從而使用戶的計(jì)算機(jī)面臨風(fēng)險(xiǎn)，因此不推薦用戶使用。危害：在當(dāng)今很多地方以用戶名(帳號(hào))和口令作為鑒權(quán)的世界，口令的重要性就可想而知了?？诹罹拖喈?dāng)于進(jìn)入家門(mén)的鑰匙，當(dāng)他人有一把可以進(jìn)入你家的鑰匙，想想你的安全、你的財(cái)物、你的隱私。因?yàn)槿蹩诹詈苋菀妆凰瞬碌交蚱平?，所以如果你使用弱口令，就像把家門(mén)鑰匙放在家門(mén)口的墊子下面，是非常危險(xiǎn)的。整改建議：針對(duì)后臺(tái)或者網(wǎng)絡(luò)管理員的弱口令比較好解決，強(qiáng)制對(duì)所有的管理系統(tǒng)賬號(hào)密碼強(qiáng)度必須達(dá)到一定的級(jí)別。（如使用數(shù)字+字母+特殊字符和大小寫(xiě)）。6、任意文件下載名詞解釋利用路徑回溯符“./”跳出程序本身的限制目錄實(shí)現(xiàn)下載任意文件。

6、危害：可以實(shí)現(xiàn)下載服務(wù)任何文件。整改建議：在下載前對(duì)傳入的參數(shù)進(jìn)行過(guò)濾，直接將.替換成空，對(duì)待下載文件類(lèi)型 進(jìn)行檢查，判斷是否允許下載類(lèi)型。7、目錄遍歷漏洞名詞解釋通過(guò)目錄便利攻擊可以獲取系統(tǒng)文件及服務(wù)器的配置文件等等。危害：可能會(huì)查看 Web 服務(wù)器（在 Web 服務(wù)器用戶的許可權(quán)限制下）上的任何文件（例如，數(shù)據(jù)庫(kù)、用戶信息或配置文件）的內(nèi)容。整改建議：防范目錄遍歷攻擊漏洞，最有效的辦法就是權(quán)限控制，謹(jǐn)慎處理傳向文件系統(tǒng)API的參數(shù)。最好的防范方法就是組合使用下面兩條：1、凈化數(shù)據(jù)：對(duì)用戶傳過(guò)來(lái)的文件名參數(shù)進(jìn)行硬編碼或統(tǒng)一編碼，對(duì)文件類(lèi)型進(jìn)行白名單控制，對(duì)包含惡意字符或者空字符的參數(shù)進(jìn)行拒絕。2、web應(yīng)用程序可以使用chrooted環(huán)境包含被訪問(wèn)的web目錄，或者使用絕對(duì)路徑+參數(shù)來(lái)訪問(wèn)文件目錄，時(shí)使其即使越權(quán)也在訪問(wèn)目錄之內(nèi)。www目錄就是一個(gè)chroot應(yīng)用。8、phpinfo信息泄露名詞解釋通過(guò)Phpinfo文件泄露網(wǎng)站環(huán)境的詳細(xì)信息。危害：phpinfo()函數(shù)返回的信息中包含了服務(wù)器的配置信息，包括：1）PHP編譯選項(xiàng)以及文件擴(kuò)展名的相關(guān)信息；2）php的版本信息 3）php的配置信息；4）數(shù)據(jù)庫(kù)信息；等敏感信息。這些敏感信息會(huì)幫助攻擊者展開(kāi)進(jìn)一步的攻擊。整改建議：限制此類(lèi)腳本的訪問(wèn)權(quán)