门户网站安全维护手册.pdfVIP

目 录 说明 Apache环境 Cookie缺少HttpOnly、Secure标识 cgi-bin目录问题 apache icons目录问题 启用了OPTIONS方法 启用了TRACE Method X-Frame-Options头未设置 错误页面WEB应用服务器版本泄漏 关闭目录浏览权限 缺少x-content-type-options头 帝国CMS 发现robots.txt文件 目录权限设置 YNCMS 其它 允许Flash文件与任何域HTML页面通信 jQuery版本警告 #65279导致页面空行 本文档使用 看云 构建 - 2 - 说明 说明 初衷 ： 本文档用于记录所遇到的网站安全问题 ，并分类汇总 ，方便后期遇到类似问题 ，能够快速找到解决方案 ， 提高效率 ，让程序员有更多的时间去把妹 ，LOL... 记录规范 ： 1. 标题必须清晰明了 ，方便用户快速查找 ，拒绝标题党 ； 2. 问题放到正确的分类中 ； 3. 记录问题的时候先阐述问题 ，再列出解决方法 ，尽量做到有图有真相 ； 4. 如果有对应的资料 ，可以附上链接 ； 5. 记录问题提交人 ，方便追踪 本文档使用 看云 构建 - 3 - Apache环境 Apache环境 Cookie缺少HttpOnly、Secure标识 cgi-bin目录问题 apache icons目录问题 启用了OPTIONS方法 启用了TRACE Method X-Frame-Options头未设置 错误页面WEB应用服务器版本泄漏 关闭目录浏览权限 缺少x-content-type-options头 本文档使用 看云 构建 - 4 - Cookie缺少HttpOnly、Secure标识 Cookie缺少HttpOnly、Secure标识 漏洞提示 描述 httponly是微软对cookie做的扩展 ，这个主要是解决用户的cookie可能被盗用的问题。 大家都知道 ，当我们去邮箱或者论坛登陆后 ，服务器会写一些cookie到我们的浏览器 ，当下次再访问其他 页面时 ，由于浏览器回自动传递cookie ，这样就实现了一次登陆就可以看到所有需要登陆后才能看到的内 容。也就是说 ，实质上 ，所有的登陆状态这些都是建立在cookie上的 ！假设我们登陆后的cookie被人获 得 ，那就会有暴露个人信息的危险 ！当然 ，想想 ，其他人怎么可以获得客户的cookie ？那必然是有不怀好 意的人的程序在浏览器里运行 ！如果是现在满天飞的流氓软件 ，那没有办法 ，httponly也不是用来解决这 种情况的 ，它是用来解决浏览器里javascript访问cookie的问题。试想 ，一个flash程序在你的浏览器里运 行 ，就可以获得你的cookie的 ！ 修复方案 本文档使用 看云 构建 - 5 - Cookie缺少HttpOnly、Secure标识 一、修改php配置文件php.ini 注意 ：YNCMS勿改此项 ，其程序内部提供支持 ，按照第二种方案修改即可 session.cookie_secure 1 session.cookie_httponly 1 二、修改网站cookie配置文件 ，以YNCMS为例 ，修改/Application/Home/Conf/config.php ，添加 配置参数 COOKIE_SECURE true, // cookie 启用安全传输 COOKIE_HTTPONLY true, // httponly设置 参考资料 ：http///arti