- 1、本文档共23页,可阅读全部内容。
- 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
网站漏洞修复建议
目 录
一. 应用层漏洞修复建议 5
1.1 A1-注入 5
1.1.1 描述 5
1.1.2 危害 5
1.1.3 案例 6
1.1.4 加固建议 6
1.2 A1-失效的身份认证和会话管理 7
1.2.1 描述 7
1.2.2 危害 7
1.2.3 案例 8
1.2.4 加固建议 8
1.3 A3-跨站脚本 9
1.3.1 描述 9
1.3.2 危害 9
1.3.3 案例 9
1.3.4 加固建议 9
1.4 A4-不安全的直接对象引用 10
1.4.1 描述 10
1.4.2 危害 10
1.4.3 案例 11
1.4.4 加固建议 11
1.5 A5-安全配置错误 11
1.5.1 类型 11
1.5.2 危害 12
1.5.3 案例 12
1.5.4 加固建议 12
1.6 A6-敏感数据泄露 13
1.6.1 类型 13
1.6.2 危害 13
1.6.3 案例 13
1.6.4 加固建议 14
1.7 A7-缺乏功能层次的访问控制 14
1.7.1 类型 14
1.7.2 危害 14
1.7.3 案例 14
1.7.4 加固建议 15
1.8 A8-跨站请求伪造 15
1.8.1 类型 15
1.8.2 危害 15
1.8.3 案例 16
1.8.4 加固建议 16
1.9 A9-使用含已知漏洞的组件 16
1.9.1 类型 16
1.9.2 危害 17
1.9.3 案例 17
1.9.4 加固建议 17
1.10 A10-未验证的重定向和跳转 17
1.10.1 类型 17
1.10.2 危害 17
1.10.3 案例 18
1.10.4 加固建议 18
二. 主机层漏洞修复建议 18
2.1 Windows 18
2.1.1 类型 18
2.1.2 加固建议 19
2.2 Unix/Linux 19
2.2.1 类型 19
2.2.2 加固建议 19
2.3 Oracle 19
2.3.1 类型 19
2.3.2 加固建议 19
2.4 Mysql 20
2.4.1 类型 20
2.4.2 加固建议 20
2.5 SQL Server 20
2.5.1 类型 20
2.5.2 加固建议 20
2.6 Tomcat/Apache 21
2.6.1 类型 21
2.6.2 加固建议 21
2.7 Weblogic 21
2.7.1 类型 21
2.7.2 加固建议 21
三. 网络设备类漏洞修复建议 22
3.1 路由器/交换机 22
3.1.1 类型 22
3.1.2 加固建议 22
3.2 防火墙/安全设备 22
3.2.1 类型 22
3.2.2 加固建议 22
四. 弱口令类修复建议 23
4.1 FTP/SSH/TELNET/SMB/HTTP等认证协议 23
4.1.1 漏洞类型 23
4.1.2 加固建议 23
五. 其他类修复建议 23
5.1.1 类型 23
5.1.2 加固建议 23
六. 附件 24
应用层漏洞修复建议
A1-注入
描述
注入攻击漏洞往往是应用程序缺少对输入进行安全性检查所引起的。攻击者把一些包含攻击代码当做命令或者查询语句发送给解释器,这些恶意数据可以欺骗解释器,从而执行计划外的命令或者未授权访问数据。注入漏洞通常能在SQL查询、LDAP查询、OS命令、程序参数等中出现
危害
注入能导致数据丢失或数据破坏、缺乏可审计性或是拒绝服务。注入漏洞有时甚至能导致完全接管主机
案例
加固建议
1.在网页代码中需要对用户输入的数据进行严格过滤。
2.网络中部署Web应用防火墙
3.对所有用户输入字符进行转义
4.参数化查询
5.通过存储过程预先定义并存放在
6.对数据库操作进行监控
建议过滤出所有以下字符:
[1] |(竖线符号)
[2] ( 符号)
[3];(分号)
[4] $(美元符号)
[5] %(百分比符号)
[6] @(at 符号)
[7] ‘(单引号)
[8] “(引号)
[9] \’(反斜杠转义单引号)
[10] \\”(反斜杠转义引号)
[11] (尖括号)
[12] ()(括号)
[13] +(加号)
[14] CR(回车符,ASCII 0x0d)
[15] LF(换行,ASCII 0x0a)
[16] ,(逗号)
[17] \(反斜杠)
?A1-失效的身份认证和会话管理
描述
与认证和会话管理相关的应用程序功能往往得不到正确管理,这就导致攻击者破坏密码、密匙、会话令牌或利用实施漏洞冒充其他用户身份。
危害
这些漏洞可能导致部分甚至全部帐户遭受攻击。一旦攻击成功,攻击者能执行合法用户的任何操作。因此特权帐户会造成更大的破坏。
案例
加固建议
1、区分公共区域和受限区域
2、对最终用户帐户使用帐户锁定策略
3、支持密
您可能关注的文档
- 维修电工中级-第二章2.ppt
- 维护尊严权 改.ppt
- 维氏瑞士军刀各部件使用方法介绍.docx
- 维修电工培训--电缆、接线.ppt
- 维生素B2与发酵.ppt
- 绪论-热能.ppt
- 维生素C的故事公开课课件.ppt
- 维生素B1片重量差异和脆碎度法检查.ppt
- 维生素市场现状与饲用维生素必威体育精装版进展.ppt
- 维生素E的药理作用及相关价值.ppt
- 10《那一年,面包飘香》教案.docx
- 13 花钟 教学设计-2023-2024学年三年级下册语文统编版.docx
- 2024-2025学年中职学校心理健康教育与霸凌预防的设计.docx
- 2024-2025学年中职生反思与行动的反霸凌教学设计.docx
- 2023-2024学年人教版小学数学一年级上册5.docx
- 4.1.1 线段、射线、直线 教学设计 2024-2025学年北师大版七年级数学上册.docx
- 川教版(2024)三年级上册 2.2在线导航选路线 教案.docx
- Unit 8 Dolls (教学设计)-2024-2025学年译林版(三起)英语四年级上册.docx
- 高一上学期体育与健康人教版 “贪吃蛇”耐久跑 教案.docx
- 第1课时 亿以内数的认识(教学设计)-2024-2025学年四年级上册数学人教版.docx
文档评论(0)