告知書網(wǎng)站漏洞危害及整改建議

1、附件2:網(wǎng)站漏洞危害及整改建議網(wǎng)站木馬1.1危害利用IE瀏覽器漏洞，讓IE在后臺自動下載黑客放置在 網(wǎng)站上的木馬并運行（安裝）這個木馬，即這個網(wǎng)頁能下載 木馬到本地并運行（安裝）下載到本地電腦上的木馬，整個 過程都在后臺運行，用戶一旦打開這個網(wǎng)頁，下載過程和運 行（安裝）過程就自動開始，從而實現(xiàn)控制訪問者電腦或安 裝惡意軟件的目的。1.2利用方式表面上偽裝成普通的網(wǎng)頁文件或是將惡意的代碼直接 插入到正常的網(wǎng)頁文件中，當有人訪問時，網(wǎng)頁木馬就會利 用對方系統(tǒng)或者瀏覽器的漏洞自動將配置好的木馬的服務 端下載到訪問者的電腦上來自動執(zhí)行?？杀荒抉R植入的網(wǎng)頁 也意味著能被篡改頁面內(nèi)容。1.3整改建議1）

2、加強網(wǎng)站程序安全檢測，及時修補網(wǎng)站漏洞；2）對網(wǎng)站代碼進行一次全面檢測，查看是否有其余惡 意程序存在；3）建議重新安裝服務器及程序源碼，防止有深度隱藏 的惡意程序無法檢測到，導致重新安裝系統(tǒng)后攻擊者仍可利 用后門進入；4）如有條件，建議部署網(wǎng)站防篡改設備。網(wǎng)站暗鏈2.1危害網(wǎng)站被惡意攻擊者插入大量暗鏈，將會被搜索引擎懲 罰，降低權(quán)重值；被插入大量惡意鏈接將會對網(wǎng)站訪問者造 成不良影響；將會協(xié)助惡意網(wǎng)站（可能為釣魚網(wǎng)站、反動網(wǎng) 站、賭博網(wǎng)站等）提高搜索引擎網(wǎng)站排名?？杀徊迦氚垫湹?網(wǎng)頁也意味著能被篡改頁面內(nèi)容。2.2利用方式暗鏈”就是看不見的網(wǎng)站鏈接，暗鏈唯網(wǎng)站中的鏈接 做的非常隱蔽，可能訪問者

3、并不能一眼就能識別出被掛的隱 藏鏈接。它和友情鏈接有相似之處，可以有效地提高PR值, 所以往往被惡意攻擊者利用。2.3整改建議1）加強網(wǎng)站程序安全檢測，及時修補網(wǎng)站漏洞；2）對網(wǎng)站代碼進行一次全面檢測，查看是否有其余惡 意程序存在；3）建議重新安裝服務器及程序源碼，防止無法到檢測 深度隱藏的惡意程序，導致重新安裝系統(tǒng)后攻擊者仍可利用 后門進入；4）如有條件，建議部署網(wǎng)站防篡改設備。頁面篡改3.1危害政府門戶網(wǎng)站一旦被篡改將造成多種嚴重的后果，主要 表現(xiàn)在以下一些方面：1）政府形象受損；2）影響信息發(fā)布和傳播；3）惡意發(fā)布有害違法信息及言論；4）木馬病毒傳播，引發(fā)系統(tǒng)崩潰、數(shù)據(jù)損壞等；5）造成泄

4、密事件。3.2利用方式惡意攻擊者得到網(wǎng)站權(quán)限篡改網(wǎng)站頁面內(nèi)容，一般多為 網(wǎng)站首頁，或者得到域名控制權(quán)限后通過修改域名A記錄， 域名劫持也可達到頁面篡改的目的。3.3整改建議1）加強網(wǎng)站程序安全檢測，及時修補網(wǎng)站漏洞；2）對網(wǎng)站代碼進行一次全面檢測，查看是否有其余惡 意程序存在；3）建議重新安裝服務器及程序源碼，防止無法檢測到 深度隱藏的惡意程序，導致重新安裝系統(tǒng)后攻擊者仍可利用 后門進入；4）如有條件，建議部署網(wǎng)站防篡改設備。SQL注入4.1危害這些危害包括但不局限于：1）數(shù)據(jù)庫信息泄漏：數(shù)據(jù)庫中存放的用戶的隱私信息 的泄露；2）網(wǎng)頁篡改：通過操作數(shù)據(jù)庫對特定網(wǎng)頁進行篡改；3）網(wǎng)站被掛馬，傳播

5、惡意軟件：修改數(shù)據(jù)庫一些字段的值，嵌入網(wǎng)馬鏈接，進行掛馬攻擊；4）數(shù)據(jù)庫被惡意操作：數(shù)據(jù)庫服務器被攻擊，數(shù)據(jù)庫 的系統(tǒng)管理員帳戶被篡改；5）服務器被遠程控制安裝后門，經(jīng)由數(shù)據(jù)庫服務器提 供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng)；6）破壞硬盤數(shù)據(jù)，癱瘓全系統(tǒng)；一些類型的數(shù)據(jù)庫系統(tǒng)能夠讓SQL指令操作文件系統(tǒng), 這使得SQL注入的危害被進一步放大。4.2利用方式由于程序員在編寫代碼的時候，沒有對用戶輸入數(shù)據(jù)的 合法性進行判斷，使應用程序存在安全隱患。攻擊者可以提 交一段數(shù)據(jù)庫查詢代碼，根據(jù)程序返回的結(jié)果，獲得某些攻 擊者想得知的數(shù)據(jù)，甚至獲得管理權(quán)限。4.3整改建議1）修改網(wǎng)站源代碼，對用戶

6、交互頁面提交數(shù)據(jù)進行過 濾，防止SQL注入漏洞產(chǎn)生；2）對網(wǎng)站代碼進行一次全面檢測，查看是否有惡意程 序存在；3）建議重新安裝服務器及程序源碼，防止無法檢測到 深度隱藏的惡意程序，導致重新安裝系統(tǒng)后攻擊者仍可利用 后門進入；4）如有條件，建議部署WEB應用防火墻等相關(guān)設備。后臺管理5.1危害站點信息的更新通常通過后臺管理來實現(xiàn)，web應用程 序開發(fā)者或者站點維護者可能使用常用的后臺地址名稱來 管理，比如admin、manager等。攻擊者可能通過使用上述常 用地址嘗試訪問目標站點，獲取站點的后臺管理地址，從而 可以達到暴力破解后臺登錄用戶口令的目的。攻擊者進入后 臺管理系統(tǒng)后可以直接對網(wǎng)站內(nèi)容

7、進行增加、篡改或刪除。5.2利用方式通過使用常用的管理后臺地址嘗試訪問目標站點，獲取 站點的后臺管理地址，使用字典暴力猜解網(wǎng)站后臺地址。如 后臺管理的口令較弱則可能被猜解而進入管理界面，如管理 登入存在注入漏洞則可能驗證被繞過而直接進入管理界面。5.3整改建議1）為后臺管理系統(tǒng)設置復雜訪問路徑，防止被攻擊者 輕易找到；2）增加驗證碼后臺登錄身份驗證措施，防止攻擊者對 后臺登錄系統(tǒng)實施自動暴力攻擊；3）修改網(wǎng)站源代碼，對用戶提交數(shù)據(jù)進行格式進行限 制，防止因注入漏洞等問題導致后臺驗證繞過問題；4）加強口令管理，從管理和技術(shù)上限定口令復雜度及 長度。攻擊痕跡6.1危害網(wǎng)站常見的攻擊痕跡：惡意腳本痕

8、跡、異常文件提交痕 跡、異常賬號建立痕跡、異常網(wǎng)絡連接等，一旦發(fā)現(xiàn)網(wǎng)站存 在攻擊痕跡，說明網(wǎng)站已經(jīng)或曾經(jīng)被入侵過。6.2整改建議1）加強網(wǎng)站程序安全檢測，及時修補網(wǎng)站漏洞；2）對網(wǎng)站代碼進行一次全面檢測，及時發(fā)現(xiàn)網(wǎng)站代碼 中存在的問題，查看是否有惡意程序存在；3）建議重新安裝服務器及程序源碼，防止無法檢測到 深度隱藏的惡意程序，導致重新安裝系統(tǒng)后攻擊者仍可利用 后門進入?？缯灸_本7.1危害1）釣魚欺驪：最典型的就是利用目標網(wǎng)站的反射型跨 站腳本漏洞將目標網(wǎng)站重定向到釣魚網(wǎng)站，或者注入釣魚 JavaScript以監(jiān)控目標網(wǎng)站的表單輸入，甚至發(fā)起基于 DHTML 更高級的釣魚攻擊方式。2）網(wǎng)站掛馬

9、：跨站時利用IFrame嵌入隱藏的惡意網(wǎng)站 或者將被攻擊者定向到惡意網(wǎng)站上，或者彈出惡意網(wǎng)站窗口 等方式都可以進行掛馬攻擊。3）身份盜用：Cookie是用戶對于特定網(wǎng)站的身份驗證 標志，XSS可以盜取到用戶的Cookie，從而利用該Cookie 盜取用戶對該網(wǎng)站的操作權(quán)限。如果一個網(wǎng)站管理員用戶 Cookie被竊取，將會對網(wǎng)站引發(fā)嚴重危害。4）盜取網(wǎng)站用戶信息：當能夠竊取到用戶Cookie從而 獲取到用戶身份使，攻擊者可以獲取到用戶對網(wǎng)站的操作權(quán) 限，從而查看用戶隱私信息。5）垃圾信息發(fā)送：如在SNS社區(qū)中，利用乂，漏洞 借用被攻擊者的身份發(fā)送大量的垃圾信息給特定的目標群。6）劫持用戶Web行

10、為：一些高級的XSS攻擊甚至可 以劫持用戶的Web行為，監(jiān)視用戶的瀏覽歷史，發(fā)送與接收 的數(shù)據(jù)等等。7）XSS蠕蟲：XSS蠕蟲可以用來打廣告、刷流量、掛 馬、惡作劇、破壞網(wǎng)上數(shù)據(jù)、實施DDoS攻擊等。7.2利用方式XSS攻擊使用到的技術(shù)主要為HTML和Javascript也 包括VBScript和ActionScrip等。XSS攻擊對WEB服務器 雖無直接危害，但是它借助網(wǎng)站進行傳播，使網(wǎng)站的使用用 戶受到攻擊，導致網(wǎng)站用戶帳號被竊取，從而對網(wǎng)站產(chǎn)生較 嚴重的危害。7.3整改建議1）修改網(wǎng)站源代碼，對用戶交互頁面提交數(shù)據(jù)進行過 濾，防止SQL注入漏洞產(chǎn)生；2）對網(wǎng)站代碼進行一次全面檢測，查看是

11、否有惡意程 序存在；3）建議重新安裝服務器及程序源碼，防止無法檢測到 深度隱藏的惡意程序，導致重新安裝系統(tǒng)后攻擊者仍可利用 后門進入；4）如有條件，建議部署WEB應用防火墻等相關(guān)設備。文件包含8.1危害由于開發(fā)人員編寫源碼，開發(fā)者將可重復使用的代碼插 入到單個的文件中，并在需要的時候?qū)⑺鼈儼谔厥獾墓?能代碼文件中，然后包含文件中的代碼會被解釋執(zhí)行。由于 并沒有針對代碼中存在文件包含的函數(shù)入口做過濾，導致客 戶端可以提交惡意構(gòu)造語句，并交由服務器端解釋執(zhí)行。8.2利用方式文件包含漏洞，如果允許客戶端用戶輸入控制動態(tài)包含 在服務器端的文件，會導致惡意代碼的執(zhí)行及敏感信息泄 露，主要包括本地文件

12、包含和遠程文件包含兩種形式。8.3整改建議修改程序源代碼，禁止服務器端通過動態(tài)包含文件方式 的文件鏈接。目錄遍歷9.1危害程序中如果不能正確地過濾客戶端提交的.和.之類的 目錄跳轉(zhuǎn)符，惡意者就可以通過上述符號跳轉(zhuǎn)來訪問服務器 上的特定的目錄或文件。9.2利用方式提交和.之類的目錄跳轉(zhuǎn)符，惡意者就可以通過上述符 號跳轉(zhuǎn)來訪問服務器上的特定的目錄或文件。9.3整改建議加強網(wǎng)站訪問權(quán)限控制，禁止網(wǎng)站目錄的用戶瀏覽權(quán) 限。危險端口10.1危害開放危險端口（數(shù)據(jù)庫、遠程桌面、telnet）,可被攻 擊者嘗試弱口令登錄或暴力猜解登錄口令，或利用開放的端 口進行DDOS拒絕服務攻擊。10.2利用方式弱口令嘗

13、試和暴力猜解。10.3整改建議加強網(wǎng)站服務器的端口訪問控制，禁止非必要端口對外 開放。例如數(shù)據(jù)庫連接端口 1433、1521、3306等；謹慎開 放遠程管理端口 3389、23、22、21等，如有遠程管理需要, 建議對端口進行更改或者管理IP進行限制。信息泄露11.1危害目標網(wǎng)站W(wǎng)EB程序和服務器末屏蔽錯誤信息，未做有 效權(quán)限控制，可能導致泄漏敏感信息，惡意攻擊者利用這些 信息進行進一步滲透測試。11.2利用方式信息泄漏的利用方式包括但不限于以下攻擊方式：1）phpinfo信息泄漏；2）測試頁面泄漏在外網(wǎng)；3）備份文件泄漏在外網(wǎng)；4）版本管理工具文件信息泄漏；5）HTTP認證泄漏；6）泄漏員工

14、電子郵箱漏洞以及分機號碼；7）錯誤詳情泄漏；8）網(wǎng)站真實存放路徑泄漏。11.3整改建議1）加強網(wǎng)站服務器配置，對默認錯誤信息進行修改， 避免因客戶端提交的非法請求導致服務器返回敏感信息。2）盡量不在網(wǎng)站目錄下存放備份、測試等可能泄露網(wǎng) 站內(nèi)容的文件。中間件12.1危害WEB 應用程序的搭建環(huán)境會利用到中間件，如：IIS、 apache、weblogic等，而這些中間件軟件都存在一些漏洞， 如：拒絕服務漏洞，代碼執(zhí)行漏洞、跨站腳本漏洞等。惡意 攻擊者利用中間件的漏洞可快速成功攻擊目標網(wǎng)站。12.2利用方式判斷中間件版本，利用已公布的漏洞exp進行攻擊，或 挖掘識別出的版本所存在的安全漏洞。12.

15、3整改建議加強網(wǎng)站web服務器、中間件配置，及時更新中間件安 全補丁，尤其注意中間件管理平臺的口令強度。第三方插件13.1危害WEB應用程序很多依靠其他第三方插件搭配，如編輯 器、網(wǎng)站框架，這些第三方插件也會存在一些漏洞，若未做 安全配置，使用默認安裝也會產(chǎn)生一些安全隱患，導致攻擊 者可以任意新增、讀取、修改或刪除應用程序中的資料，最 壞的情況是造成攻擊者能夠完全獲取整個網(wǎng)站和數(shù)據(jù)庫的 控制權(quán)限，包括修改刪除網(wǎng)站頁面、竊取數(shù)據(jù)庫敏感信息， 甚至以網(wǎng)站為跳板，獲取整個內(nèi)網(wǎng)服務器控制權(quán)限。13.2利用方式識別當前網(wǎng)站程序所涉及的第三方插件，針對第三方插 件進行漏洞攻擊13.3整改建議一些不安全的第

16、三方插件，可能存在眾多已知或未知漏 洞，攻擊者利用這些第三方插件漏洞，可能獲取網(wǎng)站文件、 控制服務器。如果網(wǎng)站需要引入第三方插件，建議上線前進 行安全檢測或加固，盡量不要采用一些存在問題較多的中間 件，例如fckedit薄。文件上傳14.1危害由于文件上傳功能實現(xiàn)代碼沒有嚴格限制用戶上傳的 文件后綴以及文件類型，導致允許攻擊者向某個可通過Web 訪問的目錄上傳任意后綴文件，并能將這些文件傳遞給腳本 解釋器，就可以在遠程服務器上執(zhí)行任意腳本或惡意代碼。14.2利用方式直接上傳可被執(zhí)行的腳本文件，繞過文件限制上傳可被 執(zhí)行的腳本文件。14.3整改建議對網(wǎng)站所有上傳接口在服務器端進行嚴格的類型、大小

17、 等控制，防止攻擊者利用上傳接口上傳惡意程序。配置文件15.1危害未做嚴格的權(quán)限控制，惡意攻擊者可直接訪問配置文 件，將會泄漏配置文件內(nèi)的敏感信息。15.2利用方式嘗試訪問常見配置文件路徑，查看是否泄漏敏感信息。15.3整改建議加強對網(wǎng)站常見默認配置文件比如數(shù)據(jù)庫連接文件、備 份數(shù)據(jù)庫等文件的管理，避免使用默認配置路徑及默認格式 存放，防止攻擊者針對網(wǎng)站類型直接獲取默認配置文件。冗余文件16.1危害未做嚴格的權(quán)限控制，如備份信息或臨時文件等冗余文 件將會泄漏敏感信息。16.2利用方式利用字典嘗試冗余文件是否存在，并且判斷是否存在可 利用的敏感信息。16.3整改建議1）注意對網(wǎng)站所有目錄中文件進行監(jiān)控，避免將網(wǎng)站打 包備份文件、數(shù)據(jù)庫備份文件等直接存放在網(wǎng)站目錄下；2）定期對網(wǎng)站目錄中文件進行比對，及時發(fā)現(xiàn)并清除被 插入頁面或上傳的惡意程序。系統(tǒng)漏洞17.1危害系統(tǒng)漏洞問題是與時間緊密相關(guān)的。一個系統(tǒng)從發(fā)布 的那一天起，隨著用戶的深入使