没有所谓的捷径
一切都是时间最平凡的累积

常见网站安全漏洞处理方法,禁用危险的http方法,如TRACE,OPTIONS

站长整理辛苦,觉得有用评论点个赞吧,若转载请注明出处。如果文章内容失效,请反馈给本站,谢谢!

目前越来越多的站长在关注安全问题,网络木马也越发猖狂,很多政府机构网站委托第三方检测会出现各种各样的安全风险,服务器可以自己调整,虚拟主机由于权限有限,很难自主设置,以下介绍常见的风险提醒处理方法。

1、htaccess文件可读。

修改apache配置文件httpd.conf

AccessFileName .htaccess

2、发现PHPINFO信息泄露漏洞。

一般是网站目录下放置了phpinfo函数文件,删除phpinfo.php

3、Tomcat示例文件未删除。

删除tomcat默认站点下的index.jsp

4、PHPSESSID已知会话确认攻击。

本身修改php.ini,将session.use_only_cookies 修改为1,然后重启web服务即可,但有些用户是asp程序,且已经修改也依然提示phpsessid会话攻击,没办法,为了迎合检测,只有直接从http请求上面进行封禁。

apache环境在根目录下建立.htaccess文件,设置

<IfModule php5_module>
php_value session.cookie_httponly true
</IfModule>

iis7及以上环境在根目录下建立web.config文件,设置

<?xml version="1.0"?>
<configuration>
<system.web>
<httpCookies httpOnlyCookies="true" />
</system.web>
</configuration>

5、Flash配置不当漏洞

修改根目录crossdomain.xml,将domain中的域名更换成自己的域名,多个域名可以写多行

<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*.mydns.vip" />
<allow-access-from domain="*.mydns.vip" />
</cross-domain-policy>

6、跨站脚本Xss漏洞/sql注入漏洞/代码执行漏洞

asp程序

点击下载

②解压后,将文件放到公共文件(如数据库的连接文件)所在目录

③在公共文件页面中加入代码

<!--#include file="waf.asp"-->

php:

下载地址:

温馨提示: 此处内容需要评论本文后才能查看.

解压后,整个文件夹放到网站根目录

在网站的一个公用文件(如数据库的连接文件)中加入代码:

if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){
require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');
} // 注意文件路径

常用PHP建站系统的公用页面

PHPCMS : \phpcms\base.php

PHPWIND: \phpwind\conf\baseconfig.php

DEDECMS: \data\common.inc.php

Discuz: \config\config_global.php

WordPress: \wp-config-sample.php

ECshop: \data\config.php

Metinfo: \include\head.php

HDwiki: \config.php

7、Swfupload.swf跨站脚本攻击漏洞

下载地址

温馨提示: 此处内容需要评论本文后才能查看.

下载压缩包解压替换Swfupload.swf,替换前备份自己的文件

以下是swfupload的源码文件,如果你自己有开发能力,也可以自己重新编译打包
下载地址

温馨提示: 此处内容需要评论本文后才能查看.

8、禁用危险的http方法,如TRACE,OPTIONS

windows 2008-2012:

在网站目录建立web.config,内容如下,如果文件已经存在,请添加红色部分。
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<security>
<requestFiltering>
<verbs allowUnlisted="true">
<add verb="OPTIONS" allowed="false"/>
<add verb="TRACE" allowed="false"/>
</verbs>
</requestFiltering>
</security>
</system.webServer>
</configuration>

windows 2003:
下载加载rewrite.dll组件,然后编辑httpd.conf ,在里面添加规则

RewriteEngine on
RewriteCond %{THE_REQUEST} ^(TRACE|OPTIONS)
RewriteRule .* - [F]

linux:
在wwwroot目录下创建.htaccess文件,内容如下,如果您已有其他规则,请添加到第一条规则

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|OPTIONS)
RewriteRule .* - [F]

9、其他一些开源程序漏洞
程序自身漏洞的问题,要联系程序开发人员进行检查,如果是开源的,要及时升级更新。

» 本文链接地址:https://blog.mydns.vip/1304.html
» 如果喜欢可以: 点此订阅本站
赞(4) 打赏 【豫章小站原创文章】
声明:本站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,若涉及侵权请及时告知,将会在第一时间删除,联系邮箱:contact@mydns.vip。文章观点不代表本站立场。本站原创内容未经允许不得转载,或转载时需注明出处:豫章小站 » 常见网站安全漏洞处理方法,禁用危险的http方法,如TRACE,OPTIONS
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址

智慧源于勤奋,伟大出自平凡

没有所谓的捷径,一切都是时间最平凡的累积,今天所做的努力都是在为明天积蓄力量

联系我们赞助我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏