13721079821
網站建設資訊詳細

有關網站漏洞危害及整改建議

發表日期:2019-02-15   作者來源:杰達科技   瀏覽:   標簽: 網站安全,網站防護
隨著互聯網科技的發達,如今越來越多的網站沒有進行跟新和漏洞的修補,導致許多網站如今出現中毒征象,易企資深網站建設小編根據最近發生的網站危害進行了整頓,如今把心得分享給大家
1. 網站木馬
1.1 危害
行使IE欣賞器漏洞,讓IE在后臺主動下載黑客放置在網站上的木馬并運行(安裝)這個木馬,即這個網頁能下載木馬到本地并運行(安裝)下載到本地電腦上的木馬,整個過程都在后臺運行,用戶一旦打開這個網頁,下載過程和運行(安裝)過程就主動開始,從而實現控制訪問者電腦或安裝惡意軟件的目的。
1.2 行使體例
外觀上偽裝成通俗的網頁文件或是將惡意的代碼直接插入到正常的網頁文件中,當有人訪問時,網頁木馬就會行使對方體系或者欣賞器的漏洞主動將配置好的木馬的服務端下載到訪問者的電腦上來主動實行。可被木馬植入的網頁也意味著能被篡改頁面內容。
1.3 整改建議
1)增強網站程序安全檢測,及時修補網站漏洞;
2)對網站代碼進行一次周全檢測,查看是否有其余惡意程序存在;
3)建議重新安裝服務器及程序源碼,防止有深度隱蔽的惡意程序無法檢測到,導致重新安裝體系后攻擊者仍可行使后門進入;
4)如有條件,建議部署網站防篡改設備。
2 . 網站暗鏈
2.1 危害
網站被惡意攻擊者插入大量暗鏈,將會被搜索引擎責罰,降低權重值;被插入大量惡意鏈接將會對網站訪問者造成不良影響;將會幫忙惡意網站(可能為釣魚網站、反動網站、賭博網站等)進步搜索引擎網站排名。可被插入暗鏈的網頁也意味著能被篡改頁面內容。
2.2 行使體例
“暗鏈”就是看不見的網站鏈接,“暗鏈”在網站中的鏈接做的特別很是潛伏,可能訪問者并不能一眼就能識別出被掛的隱蔽鏈接。它和友誼鏈接有相似之處網站建設價格,可以有用地進步PR值,所以每每被惡意攻擊者行使。
2.3 整改建議
1)增強網站程序安全檢測,及時修補網站漏洞;
2)對網站代碼進行一次周全檢測,查看是否有其余惡意程序存在;
3)建議重新安裝服務器及程序源碼,防止無法到檢測深度隱蔽的惡意程序,導致重新安裝體系后攻擊者仍可行使后門進入;
4)如有條件,建議部署網站防篡改設備。
3 . 頁面篡改
3.1 危害
當局門戶網站一旦被篡改將造成多種緊張的后果,重要體現在以下一些方面: 
1)當局形象受損;
2)影響信息發布和傳播;
3)惡意發布有害違法信息及談吐;  
4)木馬病毒傳播,引發體系崩潰、數據損壞等;  
5) 造成泄密事件。
3.2 行使體例
惡意攻擊者得到網站權限篡改網站頁面內容,一樣平常多為網站首頁,或者得到域名控制權限后通過修改域名A記錄,域名劫持也可達到頁面篡改的目的。
3.3 整改建議
1)增強網站程序安全檢測,及時修補網站漏洞;
2)對網站代碼進行一次周全檢測,查看是否有其余惡意程序存在;
3)建議重新安裝服務器及程序源碼,防止無法檢測到深度隱蔽的惡意程序,導致重新安裝體系后攻擊者仍可行使后門進入;
4)如有條件,建議部署網站防篡改設備。
4.SQL注入
4.1 危害
這些危害包括但不局限于:
1)數據庫信息走漏:數據庫中存放的用戶的隱私信息的泄漏;
2)網頁篡改:通過操作數據庫對特定網頁進行篡改;
3)網站被掛馬,傳播惡意軟件:修改數據庫一些字段的值,嵌入網馬鏈接,進行掛馬攻擊;
4)數據庫被惡意操作:數據庫服務器被攻擊,數據庫的體系管理員帳戶被篡改;
5)服務器被長途控制安裝后門,經由數據庫服務器提供的操作體系支撐,讓黑客得以修改或控制操作體系;
6)破壞硬盤數據,癱瘓全體系;
一些類型的數據庫體系能夠讓SQL指令操作文件體系,這使得SQL注入的危害被進一步放大。
4.2 行使體例
因為程序員在編寫代碼的時候,沒有對用戶輸入數據的正當性進行判斷,使應用程序存在安全隱患。攻擊者可以提交一段數據庫查詢代碼,根據程序返回的效果,獲得某些攻擊者想得知的數據關鍵詞排名,甚至獲得管理權限。
4.3 整改建議
1)修改網站源代碼,對用戶交互頁面提交數據進行過濾,防止SQL注入漏洞產生;
2)對網站代碼進行一次周全檢測,查看是否有惡意程序存在;
3)建議重新安裝服務器及程序源碼,防止無法檢測到深度隱蔽的惡意程序,導致重新安裝體系后攻擊者仍可行使后門進入;
4)如有條件,建議部署WEB應用防火墻等相干設備。
5 .  后臺管理
5.1 危害
站點信息的更新通常通過后臺管理來實現,web應用程序開發者或者站點維護者可能使用常用的后臺地址名稱來管理,比如admin、manager等。攻擊者可能通過使用上述常用地址嘗試訪問目標站點,獲取站點的后臺管理地址,從而可以達到暴力破解后臺登錄用戶口令的目的。攻擊者進入后臺管理體系后可以直接對網站內容進行增長、篡改或刪除。
5.2 行使體例
通過使用常用的管理后臺地址嘗試訪問目標站點,獲取站點的后臺管理地址,使用字典暴力猜解網站后臺地址。如后臺管理的口令較弱則可能被猜解而進入管理界面,如管理登入存在注入漏洞則可能驗證被繞過而直接進入管理界面。
5.3 整改建議
1)為后臺管理體系設置復雜訪問路徑,防止被攻擊者輕易找到;
2)增長驗證碼后臺登錄身份驗證措施,防止攻擊者對后臺登錄體系實施主動暴力攻擊;
3)修改網站源代碼,對用戶提交數據進行格式進行限定,防止因注入漏洞等題目導致后臺驗證繞過題目;
4)增強口令管理,從管理和技術上限制口令復雜度及長度。
6 . 攻擊痕跡
6.1 危害
網站常見的攻擊痕跡:惡意腳本痕跡、非常文件提交痕跡、非常賬號建立痕跡、非常網絡連接等,一旦發現網站存在攻擊痕跡,說明網站已經或曾經被入侵過。
6.2 整改建議
1)增強網站程序安全檢測,及時修補網站漏洞;
2)對網站代碼進行一次周全檢測,及時發現網站代碼中存在的題目,查看是否有惡意程序存在;
3)建議重新安裝服務器及程序源碼,防止無法檢測到深度隱蔽的惡意程序,導致重新安裝體系后攻擊者仍可行使后門進入。
7.  跨站腳本
7.1 危害
1)釣魚誑騙:最典型的就是行使目標網站的反射型跨站腳本漏洞將目標網站重定向到釣魚網站,或者注入釣魚javascript以監控目標網站的表單輸入,甚至提議基于DHTML更高級的釣魚攻擊體例。
2)網站掛馬:跨站時行使IFrame嵌入隱蔽的惡意網站或者將被攻擊者定向到惡意網站上明星演出費報價,或者彈出惡意網站窗口等體例都可以進行掛馬攻擊。
3)身份盜用:Cookie是用戶對于特定網站的身份驗證標志,XSS可以盜取到用戶的Cookie,從而行使該Cookie盜取用戶對該網站的操作權限。假如一個網站管理員用戶Cookie被竊取,將會對網站引發緊張危害。
4)盜取網站用戶信息:當能夠竊取到用戶Cookie從而獲取到用戶身份使,攻擊者可以獲取到用戶對網站的操作權限,從而查看用戶隱私信息。
5)垃圾信息發送:如在SNS社區中,行使XSS漏洞借用被攻擊者的身份發送大量的垃圾信息給特定的目標群。
6)劫持用戶Web舉動:一些高級的XSS攻擊甚至可以劫持用戶的Web舉動,監視用戶的欣賞歷史,發送與接收的數據等等。
7) XSS蠕蟲:XSS蠕蟲可以用來打廣告、刷流量、掛馬、惡作劇、破壞網上數據、實施DDoS攻擊等。
7.2 行使體例
XSS攻擊使用到的技術重要為HTML和javascript,也包括VBScript和ActionScript等。XSS攻擊對WEB服務器雖無直接危害,但是它借助網站進行傳播,使網站的使用用戶受到攻擊,導致網站用戶帳號被竊取,從而對網站產生較緊張的危害。
7.3 整改建議
1)修改網站源代碼,對用戶交互頁面提交數據進行過濾,防止SQL注入漏洞產生;
2)對網站代碼進行一次周全檢測,查看是否有惡意程序存在;
3)建議重新安裝服務器及程序源碼,防止無法檢測到深度隱蔽的惡意程序,導致重新安裝體系后攻擊者仍可行使后門進入;
4)如有條件,建議部署WEB應用防火墻等相干設備。
8 . 文件包含
8.1 危害
因為開發人員編寫源碼,開發者將可重復使用的代碼插入到單個的文件中,并在必要的時候將它們包含在特別的功能代碼文件中,然后包含文件中的代碼會被詮釋實行。因為并沒有針對代碼中存在文件包含的函數入口做過濾,導致客戶端可以提交惡意構造語句,并交由服務器端詮釋實行。
8.2 行使體例
文件包含漏洞,假如許可客戶端用戶輸入控制動態包含在服務器端的文件,會導致惡意代碼的實行及敏感信息泄漏,重要包括本地文件包含和長途文件包含兩種情勢。
8.3 整改建議
修改程序源代碼,禁止服務器端通過動態包含文件體例的文件鏈接。
9.  目錄遍歷
9.1 危害
程序中假如不能精確地過濾客戶端提交的../和./之類的目錄跳轉符,惡意者就可以通過上述符號跳轉來訪問服務器上的特定的目錄或文件。
9.2 行使體例
提交../和./之類的目錄跳轉符,惡意者就可以通過上述符號跳轉來訪問服務器上的特定的目錄或文件。
9.3 整改建議
增強網站訪問權限控制,禁止網站目錄的用戶欣賞權限。
10. 傷害端口
10.1  危害
開放傷害端口(數據庫、長途桌面、telnet等),可被攻擊者嘗試弱口令登錄或暴力猜解登錄口令,或行使開放的端口進行DDOS拒絕服務攻擊。
10.2 行使體例
弱口令嘗試和暴力猜解。
10.3  整改建議
增強網站服務器的端口訪問控制,禁止非需要端口對外開放。例如數據庫連接端口1433、1521、3306等;鄭重開放長途管理端口3389、23、22、21等,如有長途管理必要,建議對端口進行更改或者管理IP進行限定。
11. 信息泄漏
11.1  危害
目標網站WEB程序和服務器未屏蔽錯誤信息,未做有用權限控制,可能導致走漏敏感信息,惡意攻擊者行使這些信息進行進一步滲透測試。
11.2  行使體例
信息走漏的行使體例包括但不限于以下攻擊體例:
1) phpinfo信息走漏;
2)測試頁面走漏在外網;
3)備份文件走漏在外網;
4)版本管理工具文件信息走漏;
5) HTTP認證走漏;
6)走漏員工電子郵箱漏洞以及分機號碼;
7)錯誤詳情走漏;
8)網站真實存放路徑走漏。
11.3  整改建議
1)增強網站服務器配置,對默認錯誤信息進行修改,避免因客戶端提交的非法請求導致服務器返回敏感信息。
2)盡量不在網站目錄下存放備份、測試等可能泄漏網站內容的文件。
12. 中心件
12.1  危害
WEB應用程序的搭建環境會行使到中心件,如:IIS、apache、weblogic等,而這些中心件軟件都存在一些漏洞,如:拒絕服務漏洞,代碼實行漏洞、跨站腳本漏洞等。惡意攻擊者行使中心件的漏洞可快速成功攻擊目標網站。
12.2  行使體例
判斷中心件版本,行使已宣布的漏洞exp進行攻擊,或發掘識別出的版本所存在的安全漏洞。
12.3 整改建議
增強網站web服務器、中心件配置,及時更新中心件安全補丁,尤其細致中心件管理平臺的口令強度。
13. 第三方插件
13.1  危害
WEB應用程序許多寄托其他第三方插件搭配,如編輯器、網站框架,這些第三方插件也會存在一些漏洞,若未做安全配置,使用默認安裝也會產生一些安全隱患,導致攻擊者可以任意新增、讀取、修改或刪除應用程序中的資料,最壞的情況是造成攻擊者能夠完全獲取整個網站和數據庫的控制權限,包括修改刪除網站頁面、竊取數據庫敏感信息,甚至以網站為跳板,獲取整個內網服務器控制權限。
13.2  行使體例
識別當前網站程序所涉及的第三方插件,針對第三方插件進行漏洞攻擊
13.3  整改建議
一些不安全的第三方插件,可能存在浩繁已知或未知漏洞,攻擊者行使這些第三方插件漏洞,可能獲取網站文件、控禮服務器。假如網站必要引入第三方插件,建議上線前進行安全檢測或加固,盡量不要采用一些存在題目較多的中心件,例如fckeditor等。
14. 文件上傳
14.1  危害
因為文件上傳功能實當代碼沒有嚴酷限定用戶上傳的文件后綴以及文件類型,導致許可攻擊者向某個可通過Web訪問的目錄上傳任意后綴文件,并能將這些文件傳遞給腳本詮釋器,就可以在長途服務器上實行任意腳本或惡意代碼。
14.2  行使體例
直接上傳可被實行的腳本文件,繞過文件限定上傳可被實行的腳本文件。
14.3  整改建議
對網站所有上傳接口在服務器端進行嚴酷的類型、大小等控制,防止攻擊者行使上傳接口上傳惡意程序。
15. 配置文件
15.1  危害
未做嚴酷的權限控制,惡意攻擊者可直接訪問配置文件,將會走漏配置文件內的敏感信息。
15.2  行使體例
嘗試訪問常見配置文件路徑,查看是否走漏敏感信息。
15.3  整改建議
增強對網站常見默認配置文件比如數據庫連接文件、備份數據庫等文件的管理,避免使用默認配置路徑及默認格式存放,防止攻擊者針對網站類型直接獲取默認配置文件。
16. 冗余文件
16.1 危害
未做嚴酷的權限控制,如備份信息或一時文件等冗余文件將會走漏敏感信息。
16.2  行使體例
行使字典嘗試冗余文件是否存在,并且判斷是否存在可行使的敏感信息。
16.3  整改建議
1) 細致對網站所有目錄中文件進行監控,避免將網站打包備份文件、數據庫備份文件等直接存放在網站目錄下;
2) 定期對網站目錄中文件進行比對,及時發現并消滅被插入頁面或上傳的惡意程序。
17. 體系漏洞
17.1  危害
體系漏洞題目是與時間緊密相干的。一個體系從發布的那一天起,隨著用戶的深入使用,體系中存在的漏洞會被賡續暴露出來。假如體系中存在安全漏洞沒有及時修復,并且計算機內沒有防病毒軟件等安全防護措施,很有可能會被病毒、木馬所行使,輕則使計算機操作體系某些功能不能正常使用,重則會使用戶賬號密碼丟失、體系破壞等。
17.2  行使體例
通過漏洞掃描軟件獲取當前體系存在的漏洞信息,進行行使。
17.3 整改建議
1)及時更新網站服務器、中心件、網站應用程序等發布的安全漏洞補丁或安全加強措施;
2)假如因特別情況不宜升級補丁,則應該根據漏洞情況使用一些第三方的安全防護措施防止漏洞被行使;
3)如有條件,建議經常對網站進行體系層漏洞檢測。
如沒特殊注明,文章均為杰達科技原創,轉載請注明來自http://www.ahjayda.com/plus/view.php?aid=4
百期无错一波中特公式 (-^O^-)MG魔术兔新手攻略 六合图库发财玄机图 黑龙江p62开奖号码今天晚上 (-^O^-)MG猫头鹰乐园_电子游艺 (★^O^★)MG矮木头_电子游艺 (^ω^)MG泰坦帝国投注 (*^▽^*)MG海豚海岸游戏网站 (★^O^★)MG大草原现金_豪华版 (★^O^★)MG巨人财富试玩网站 福彩25选5开奖历史记录表 昨天青海快3今天开奖号码 竟e球彩走势图进球数 (★^O^★)MG秘密爱慕者客户端下载 华人彩票平台 湖北快三遗漏值数据 (*^▽^*)MG中国厨房试玩网站