常见网站安全漏洞处理方法 2018-10-23
  1. htaccess文件可读

    修改apache配置文件httpd.conf

    AccessFileName  .htaccess  

  2. 发现PHPINFO信息泄露漏洞

    一般是网站目录下放置了phpinfo函数文件,删除phpinfo.php

  3. Tomcat示例文件未删除

    删除tomcat默认站点下的index.jsp

  4. PHPSESSID已知会话确认攻击

    apache环境在根目录下建立.htaccess文件,设置

    <IfModule php5_module>

        php_value session.cookie_httponly true

    </IfModule>

    iis7及以上环境在根目录下建立web.config文件,设置

    <?xml version="1.0"?>

    <configuration>

    <system.web>

           <httpCookies httpOnlyCookies="true"  />

    </system.web>

    </configuration>

  5.  Flash配置不当漏洞

    修改根目录crossdomain.xml,将domain中的域名更换成自己的域名,多个域名可以写多行

    <?xml version="1.0"?>

        <cross-domain-policy>

            <allow-access-from domain="*.test1.com" />

            <allow-access-from domain="*.test2.com" />

        </cross-domain-policy>

  6. 跨站脚本Xss漏洞/sql注入漏洞/代码执行漏洞


    asp程序

    1.下载http://downinfo.myhostadmin.net/vps/asp.zip 

    2.解压后,将文件放到公共文件(如数据库的连接文件)所在目录

    3.在公共文件页面中加入代码

     <!--#include file="waf.asp"-->

    php:  

    1.下载http://downinfo.myhostadmin.net/vps/360webscan.zip

    2.解压后,整个文件夹放到网站根目录

    3.在网站的一个公用文件(如数据库的连接文件)中加入代码:

      if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){

        require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');

    } // 注意文件路径


    常用PHP建站系统的公用页面

    PHPCMS :      \phpcms\base.php

    PHPWIND:     \phpwind\conf\baseconfig.php

    DEDECMS:     \data\common.inc.php

    Discuz:           \config\config_global.php

    Wordpress:    \wp-config-sample.php

    ECshop:         \data\config.php

    Metinfo:         \include\head.php

    HDwiki:          \config.php

  7. Swfupload.swf跨站脚本攻击漏洞

    http://downinfo.myhostadmin.net/vps/swfupload.swf.zip

    下载压缩包解压替换Swfupload.swf,替换前备份自己的文件

    以下是swfupload的源码文件,如果你自己有开发能力,也可以自己重新编译打包

    http://downinfo.myhostadmin.net/vps/swfupload.swf.rar

  8. 其他一些开源程序漏洞

    请联系程序官方更新升级补丁至最新版