常见安全漏洞的处理及解决方法.docVIP

下载本文档

40
0
约2.24千字
约 5页
2017-06-27 发布于重庆
举报
版权申诉

常见安全漏洞的处理及解决方法.doc

1、有哪些信誉好的足球投注网站（book118）网站文档一经付费（服务费），不意味着购买了该文档的版权，仅供个人/单位学习、研究之用，不得用于商业用途，未经授权，严禁复制、发行、汇编、翻译或者网络传播等，侵权必究。。
2、本站所有内容均由合作方或网友上传，本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺！文档内容仅供研究参考，付费前请自行鉴别。如您付费，意味着您自己接受本站规则且自行承担风险，本站不退款、不进行额外附加服务；查看《如何避免下载的几个坑》。如果您已付费下载过本站文档，您可以点击这里二次下载。
3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等，请点击“版权申诉”（推荐），也可以打举报电话：400-050-0827(电话支持时间：9:00-18:30)。
4、该文档为VIP文档，如果想要下载，成为VIP会员后，下载免费。
5、成为VIP后，下载本文档将扣除1次下载权益。下载后，不支持退款、换文档。如有疑问请联系我们。
6、成为VIP后，您将拥有八大权益，权益包括：VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
7、VIP文档为合作方或网友上传，每下载1次，网站将根据用户上传文档的质量评分、类型等，对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档

常见安全漏洞的处理及解决方法

相关名词解释、危害与整改建议 1、网站暗链名词解释 “暗链”就是看不见的网站链接，“暗链”在网站中的链接做的非常隐蔽，短时间内不易被有哪些信誉好的足球投注网站引擎察觉。它和友情链接有相似之处，可以有效地提高PR值。但要注意一点PR值是对单独页面，而不是整个网站。危害：网站被恶意攻击者插入大量暗链，将会被有哪些信誉好的足球投注网站引擎惩罚，降低权重值；被插入大量恶意链接将会对网站访问者造成不良影响；将会协助恶意网站（可能为钓鱼网站、反动网站、赌博网站等）提高有哪些信誉好的足球投注网站引擎网站排名。可被插入暗链的网页也意味着能被篡改页面内容。整改建议：加强网站程序安全检测，及时修补网站漏洞；对网站代码进行一次全面检测，查看是否有其余恶意程序存在；建议重新安装服务器及程序源码，防止无法到检测深度隐藏的恶意程序，导致重新安装系统后攻击者仍可利用后门进入。 2、网页挂马名词解释网页挂马是通过在网页中嵌入恶意程序或链接，致使用户计算机在访问该页面时触发执行恶意脚本，从而在不知情的情况下跳转至“放马站点”（指存放恶意程序的网络地址，可以为域名，也可以直接使用IP地址），下载并执行恶意程序。危害：利用IE浏览器漏洞，让IE在后台自动下载黑客放置在网站上的木马并运行（安装）这个木马，即这个网页能下载木马到本地并运行（安装）下载到本地电脑上的木马，整个过程都在后台运行，用户一旦打开这个网页，下载过程和运行（安装）过程就自动开始，从而实现控制访问者电脑或安装恶意软件的目的。整改建议：加强网站程序安全检测，及时修补网站漏洞；对网站代码进行一次全面检测，查看是否有其余恶意程序存在；建议重新安装服务器及程序源码，防止有深度隐藏的恶意程序无法检测到，导致重新安装系统后攻击者仍可利用后门进入。 3、SQL注入名词解释 SQL注入就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。危害：可能会查看、修改或删除数据库条目和表。严重的注入漏洞还可能以当然数据库用户身份远程执行操作系统命令。整改建议：补救方法在于对用户输入进行清理。通过验证用户输入，保证其中未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意SQL 查询、嵌入将在客户端执行的Javascript代码、运行各种操作系统命令，等等。 4、跨站点脚本名词解释跨站点脚本编制攻击是一种隐私违例，可让攻击者获取合法用户的凭证，并在与特定 Web 站点交互时假冒这位用户。危害：可能会窃取或操纵客户会话和cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务。整改建议：应对跨站点脚本编制的主要方法有两点：不要信任用户的任何输入，尽量采用白名单技术来验证输入参数；输出的时候对用户提供的内容进行转义处理。 5、弱口令名词解释弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。危害：在当今很多地方以用户名(帐号)和口令作为鉴权的世界，口令的重要性就可想而知了。口令就相当于进入家门的钥匙，当他人有一把可以进入你家的钥匙，想想你的安全、你的财物、你的隐私。因为弱口令很容易被他人猜到或破解，所以如果你使用弱口令，就像把家门钥匙放在家门口的垫子下面，是非常危险的。整改建议：针对后台或者网络管理员的弱口令比较好解决，强制对所有的管理系统账号密码强度必须达到一定的级别。（如使用数字+字母+特殊字符和大小写）。 6、任意文件下载名词解释利用路径回溯符“../”跳出程序本身的限制目录实现下载任意文件。危害：可以实现下载服务任何文件。整改建议：在下载前对传入的参数进行过滤，直接将..替换成空，对待下载文件类型进行检查，判断是否允许下载类型。 7、目录遍历漏洞名词解释通过目录便利攻击可以获取系统文件及服务器的配置文件等等。危害：可能会查看 Web 服务器（在 Web 服务器用户的许可权限制下）上的任何文件（例如，数据库、用户信息或配置文件）的内容。整改建议：防范目录遍历攻击漏洞，最有效的办法就是权限控制，谨慎处理传向文件系统API的参数。最好的防范方法就是组合使用下面两条： 1、净化数据：对用户传过来的文件名参数进行硬编码或统一编码，对文件类型进行白名单控制，对包含恶意字符或者空字符的参数进行拒绝。 2、web应用程序可以使用chrooted环境包含被访问的web目录，或者使用绝对路径+参数来访问文件目录，时使其即使越权也在访问目录之内。www目录就是一个chroot应用。 8、phpinfo信息泄露名词解释通过Phpinfo文件泄露网站环境的详细信息。危害： phpinfo