您現在的位置: 网站首頁 / seo優化 / 正文

網站漏洞危害有哪些_信息泄露漏洞的危害_漏洞解決方案

作者: admin 发布: 2015-7-2 18:7:35 分类: seo優化 閱讀: 次 查看評論

  漏洞檢測工具用語說明

  一,高危漏洞

  高危漏洞包括SQL注入漏洞、XSS跨站腳本漏洞、頁面存在源代碼泄露、網站存在備份文件、網站存在包含SVN信息的文件、網站存在Resin任意文件讀取漏洞。

  SQL注入漏洞:網站程序忽略了對輸入字符串中包含的SQL語句的檢查,使得包含的SQL語句被數據庫誤認爲是合法的SQL指令而運行,導致數據庫中各種敏感數據被盜取、更改或刪除。

  XSS跨站腳本漏洞:網站程序忽略了對輸入字符串中特殊字符與字符串(如<>'"<script><iframe>onload)的檢查,使得攻擊者可以欺騙用戶訪問包含惡意JavaScript代碼的頁面,使得惡意代碼在用戶浏覽器中執行,從而導致目標用戶權限被盜取或數據被篡改。

  頁面存在源代碼泄露:頁面存在源代碼泄露,可能導致網站服務的關鍵邏輯、配置的賬號密碼泄露,攻擊者利用該信息可以更容易得到網站權限,導致網站被黑。

  網站存在備份文件:網站存在備份文件,例如數據庫備份文件、網站源碼備份文件等,攻擊者利用該信息可以更容易得到網站權限,導致網站被黑。

  網站存在包含SVN信息的文件:網站存在包含SVN信息的文件,這是網站源碼的版本控制器私有文件,裏面包含SVN服務的地址、提交的私有文件名、SVN用戶名等信息,該信息有助于攻擊者更全面了解網站的架構,爲攻擊者入侵網站提供幫助。

  網站存在Resin任意文件讀取漏洞:安裝某些版本Resin服務器的網站存在可讀取任意文件的漏洞,攻擊者利用該漏洞可以讀取網站服務器的任意文件內容,導致網站被黑。

  二,中危漏洞

  中危漏洞包括網站存在目錄浏覽漏洞、網站存在PHPINFO文件、網站存在服務器環境探針文件、網站存在日志信息文件、網站存在JSP示例文件。

  網站存在目錄浏覽漏洞:網站存在配置缺陷,存在目錄可浏覽漏洞,這會導致網站很多隱私文件與目錄泄露,比如數據庫備份文件、配置文件等,攻擊者利用該信息可以更容易得到網站權限,導致網站被黑。

  網站存在PHPINFO文件:網站存在PHPINFO文件,這個是PHP特有的信息文件,會導致網站的大量架構信息泄露,該信息有助于攻擊者更全面了解網站的架構,爲攻擊者入侵網站提供幫助。

  網站存在服務器環境探針文件:網站存在服務器環境探針文件,該文件會導致網站的大量架構信息泄露,該信息有助于攻擊者更全面了解網站的架構,爲攻擊者入侵網站提供幫助。

  網站存在日志信息文件:網站存在日志信息文件,該文件包含的錯誤信息會導致網站的一些架構信息泄露,該信息有助于攻擊者更全面了解網站的架構,爲攻擊者入侵網站提供幫助。

  網站存在JSP示例文件:網站存在JSP示例文件,該文件的弱口令會導致網站的大量架構信息泄露,該信息有助于攻擊者更全面了解網站的架構,爲攻擊者入侵網站提供幫助。

  三、低危漏洞

  低危漏洞包括頁面上存在網站程序的調試信息、網站存在後台登錄地址、網站存在服務端統計信息文件、網站存在敏感目錄。

  頁面上存在網站程序的調試信息:頁面上存在數據庫信息,例如數據庫名、數據庫管理員名,該信息有助于攻擊者更全面了解網站的架構,爲攻擊者入侵網站提供幫助。

  網站存在後台登錄地址:網站存在後台登錄地址,攻擊者經常使用這個地址進行網站的後台登陸,比如弱密碼、表單繞過、暴力破解等,從而得到網站的權限。

  網站存在服務端統計信息文件:網站存在服務端統計信息文件,該文件會導致網站的一些架構信息泄露,該信息有助于攻擊者更全面了解網站的架構,爲攻擊者入侵網站提供幫助。

  网站存在敏感目录:网站存在敏感目录,例如 /upload /database /bak,该信息有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。

  漏洞的危害有哪些

  SQL注入漏洞的危害不僅體現在數據庫層面,還有可能危及承載數據庫的操作系統;如果SQL注入被用來挂馬,還可能用來傳播惡意軟件等,這些危害包括但不限于:

  ? 数据库信息泄漏:数据库中存储的用户隐私信息泄露。

  ? 网页篡改:通过操作数据库对特定网页进行篡改。

  ? 网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击。

  ? 数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被窜改。

  ? 服务器被远程控制,被安装后门:经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统。

  ? 破坏硬盘数据,瘫痪全系统。

  XSS跨站腳本漏洞的危害包括但不限于:

  ? 钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼JavaScript以监控目标网站的表单输入,甚至发起基于DHTML更高级的钓鱼攻击方式。

  ? 网站挂马:跨站后利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。

  ? 身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS可以盗取用户的Cookie,从而利用该Cookie获取用户对该网站的操作权限。如果一个网站管理员用户Cookie被窃取,将会对网站引发巨大的危害。

  ? 盗取网站用户信息:当能够窃取到用户Cookie从而获取到用户身份时,攻击者可以获取到用户对网站的操作权限,从而查看用户隐私信息。

  ? 垃圾信息发送:比如在SNS社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群体。

  ? 劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,监视用户的浏览历史,发送与接收的数据等等。

  ? XSS蠕虫:XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。

  信息泄露漏洞的危害

  CGI漏洞大多分爲以下幾種類型:信息泄露、命令執行和溢出,因此危害的嚴重程度不一。信息泄露會暴露服務器的敏感信息,使攻擊者能夠通過泄露的信息進行進一步入侵;命令執行會對服務器的安全造成直接的影響,如執行任意系統命令;溢出往往能夠讓攻擊者直接控制目標服務器,危害重大。

  內容泄露漏洞:會被攻擊者利用導致其它類型的攻擊,危害包括但不局限于:

  ? 内网ip泄露:可能会使攻击者渗透进入内网产生更大危害。

  ? 数据库信息泄露:让攻击者知道数据库类型,会降低攻击难度。

  ? 网站调试信息泄露:可能让攻击者知道网站使用的编程语言,使用的框架等,降低攻击难度。

  ? 网站目录结构泄露:攻击者容易发现敏感文件。

  ? 绝对路径泄露:某些攻击手段依赖网站的绝对路径,比如用SQL注入写webshell。

  ? 电子邮件泄露:邮件泄露可能会被垃圾邮件骚扰,还可能被攻击者利用社会工程学手段获取更多信息,扩大危害。

  文件泄露漏洞:可能會導致重要信息的泄露,進而擴大安全威脅,這些危害包括但不局限于:

  ? 帐号密码泄漏:可能导致攻击者直接操作网站后台或数据库,进行一些可能有危害的操作。

  ? 源码泄露:可能会让攻击者从源码中分析出更多其它的漏洞,如SQL注入,文件上传,代码执行等。

  ? 系统用户泄露:可能会方便暴力破解系统密码。

  漏洞解決方案

  SQL注入漏洞解決方案:

  1.解決SQL注入漏洞的關鍵是對所有來自用戶輸入的數據進行嚴格檢查、對數據庫配置使用最小權限原則

  2.所有的查詢語句都使用數據庫提供的參數化查詢接口,參數化的語句使用參數而不是將用戶輸入變量嵌入到SQL語句中。

  3.對進入數據庫的特殊字符('"\<>&*;等)進行轉義處理,或編碼轉換。

  4.確認每種數據的類型,比如數字型的數據就必須是數字,數據庫中的存儲字段必須對應爲int型。

  5.數據長度應該嚴格規定,能在一定程度上防止比較長的SQL注入語句無法正確執行。

  6.網站每個數據層的編碼統一,建議全部使用UTF-8編碼,上下層編碼不一致有可能導致一些過濾模型被繞過。

  7.嚴格限制網站用戶的數據庫的操作權限,給此用戶提供僅僅能夠滿足其工作的權限,從而最大限度的減少注入攻擊對數據庫的危害。

  8.避免網站顯示SQL錯誤信息,比如類型錯誤、字段不匹配等,防止攻擊者利用這些錯誤信息進行一些判斷。

  9.在網站發布之前建議使用一些專業的SQL注入檢測工具進行檢測,及時修補這些SQL注入漏洞。

  XSS跨站腳本漏洞解決方案:

  1.假定所有輸入都是可疑的,必須對所有輸入中的script、iframe等字樣進行嚴格的檢查。這裏的輸入不僅僅是用戶可以直接交互的輸入接口,也包括HTTP請求中的Cookie中的變量,HTTP請求頭部中的變量等。

  2.不要僅僅驗證數據的類型,還要驗證其格式、長度、範圍和內容。

  3.不要僅僅在客戶端做數據的驗證與過濾,關鍵的過濾步驟在服務端進行。

  4.對輸出的數據也要檢查,數據庫裏的值有可能會在一個大網站的多處都有輸出,即使在輸入做了編碼等操作,在各處的輸出點時也要進行安全檢查。

  5.在網站發布之前建議測試所有已知的威脅。

  頁面存在源代碼泄露解決方案:

  1. 配置好服务端语言解析,防止解析失败而导致源码泄露;

  2. 关闭网站错误调试机制,防止因为报错而导致源码泄露。

  網站存在備份文件解決方案:刪除檢測出的備份文件,或者將這類文件從網站目錄下移走。

  網站存在包含SVN信息的文件解決方案:刪除網站目錄下的SVN信息,不要使用SVN目錄作爲網站的目錄。

  網站存在Resin任意文件讀取漏洞解決方案:刪除resin_doc相關目錄與文件。

  網站存在目錄浏覽漏洞:關閉Web容器(如IIS/Apache等)的目錄浏覽功能,比如:

  1.IIS中關閉目錄浏覽功能:在IIS的網站屬性中,勾去“目錄浏覽”選項,重啓IIS;

  2.Apache中关闭目录浏览功能:打开Apache配置文件httpd.conf,查找 “Options Indexes FollowSymLinks”,修改为“ Options -Indexes”(减号表示取消),保存退出,重启Apache。

  網站存在PHPINFO文件解決方案:刪除檢測出的PHPINFO文件。

  網站存在服務器環境探針文件解決方案:刪除檢測出的探針文件,比如:iprober.php、phpcheck.php、jspcheck.jsp、DotNetInfo.aspx、aspcheck.asp等。

  網站存在日志信息文件解決方案:刪除檢測出的日志信息文件。

  網站存在JSP示例文件解決方案:刪除JSP示例文件。

  頁面上存在數據庫信息解決方案:關閉數據庫的錯誤調試機制,防止因爲SQL語句錯誤導致數據庫報錯信息顯示到頁面上。

  頁面上存在網站程序的調試信息解決方案:關閉網站程序的調試機制,這個機制經常被用于網站的測試調試,該機制能顯示出很詳細的網站報錯信息。

  網站存在後台登錄地址解決方案:

  1.將後台登錄地址隱藏,改個不容易猜到的路徑;

  2.配置好後台登錄地址的訪問權限,比如只允許某個IP或IP段的用戶訪問。

  網站存在服務端統計信息文件解決方案:刪除檢測出的服務端統計信息文件。

  網站存在敏感目錄解決方案:這些目錄經常用于存放敏感的文件,可以考慮從網站目錄中分離出,或改個不易猜測到的路徑,並配置好訪問權限。

  來源:SEO搜尋引擎優化 - SEO自學網 轉載注明出處!

? 上一篇下一篇 ?   本文關鍵詞: 網站漏洞  

評論列表:

站長SEO學院
第一節:百度搜索引擎工作原理
第二節:建設對搜索引擎友好的站點
第三節:如何進行網站內容建設
第四節:整體優化、結構優化、網頁優化
第五節:移動搜索-明確移動搜索優化標准
百度SEO資料文檔
百度搜索引擎優化指南2.0
百度移動搜索優化指南2.0
網站分析白皮書(站長版)
移動站點該如何優化
建設對百度友好的站點
百度搜索引擎網頁質量白皮書
石榴算法-綠蘿算法-冰桶算法
新搜索時代下的優化策略
更多百度SEO資料文檔
站長推薦
DIV+CSS布局實例教程-Web標准
网站SEO優化常见问题汇总
SEO優化推广方案该如何写
SEO優化方案步骤
影響網站關鍵詞排名因素總結
影響谷歌搜索引擎排名的因素調查
手機移動端站點適配優化
最近發表