漏洞1:SQL注入
漏洞描述
Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。
漏洞影响
攻击者可以通过该漏洞获取数据库数据、写入webshell、执行系统命令等高危操作
修复建议
代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。
(1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击。
(2)对进入数据库的特殊字符(’”<>&*;等)进行转义处理,或编码转换。
(3)确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型。
(4)数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行。
(5)网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过。
(6)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。
(7)避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。
(8)过滤危险字符,例如:采用正则表达式匹配union、sleep、and、select、load_file等关键字,如果匹配到则终止运行。
漏洞2:XSS
漏洞描述
1、Web程序代码中对用户提交的参数未做过滤或过滤不严,导致参数中的特殊字符破坏了HTML页面的原有逻辑,攻击者可以利用该漏洞执行恶意HTML/JS代码、构造蠕虫、篡改页面实施钓鱼攻击、以及诱导用户再次登录,然后获取其登录凭证等。
2、XSS攻击对Web服务器本身虽无直接危害,但是它借助网站进行传播,对网站用户进行攻击,窃取网站用户账号身份信息等,从而也会对网站产生较严重的威胁。
漏洞影响
1、钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者通过注入钓鱼JavaScript脚本以监控目标网站的表单输入,甚至攻击者基于DHTML技术发起更高级的钓鱼攻击。
2、网站挂马:跨站时,攻击者利用Iframe标签嵌入隐藏的恶意网站,将被攻击者定向到恶意网站上、或弹出恶意网站窗口等方式,进行挂马。
3、身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS攻击可以盗取用户的cookie,从而利用该cookie盗取用户对该网站的操作权限。
4、盗取网站用户信息:当窃取到用户cookie从而获取到用户身份时,攻击者可以盗取到用户对网站的操作权限,从而查看用户隐私信息。
5、垃圾信息发送:在社交网站社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。
6、劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,从而监视用户的浏览历史、发送与接收的数据等等。
7、XSS蠕虫:借助XSS蠕虫病毒还可以用来打广告、刷流量、挂马、恶作剧、破坏数据、实施DDoS攻击等。
修复建议
xss漏洞本质上是一种html注入,也就是将html代码注入到网页中。那么其防御的根本就是在将用户提交的代码显示到页面上时做好一系列的过滤与转义
(1)过滤输入的数据,对例如:“‘”,““”,”<“,”>“,” on*“,script、iframe等危险字符进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP请求中的Cookie中的变量,HTTP请求头部中的变量等。
(2)不仅验证数据的类型,还要验证其格式、长度、范围和内容。
(3)不仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。
(4)对输出到页面的数据进行相应的编码转换,如HTML实体编码、JS编码等。对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行检查。
漏洞3:XXE
漏洞详情
当XML允许引用外部实体,关键字“SYSTEM”会令XML解析器从URI中读取内容,并允许它在XML文档中被替换。因此,攻击者可以通过实体将他自定义的值发送给应用程序,然后让应用程序去呈现。
简单来说,攻击者强制XML解析器去访问攻击者指定的资源内容(可能是系统上本地文件亦或是远程系统上的文件)。而不同的XML解析器,对外部实体有不同的处理规则。
在PHP中默认处理的函数为xml_parse和simplexml_load,xml_parse的实现方式为expat库,默认情况不会解析外部实体,而simplexml_load默认情况下会解析外部实体,造成安全威胁。除PHP外,在Java、Python等处理XML的组件及函数中,都可能存在此问题。
漏洞影响
攻击者通过该漏洞可以读取敏感文件、执行系统命令等操作
修复建议
防御XXE攻击主要有三方面:一是检查所使用的底层XML解析库,默认禁止外部实体的解析;二是若使用第三方应用代码需要及时升级补丁;三是对用户提交的XML数据进行过滤,如关键词:<!DOCTYPE和<!ENTITY或者SYSTEM和PUBLIC等。
漏洞4:CSRF
漏洞描述
CSRF是跨站请求伪造,不攻击网站服务器,而是冒充用户在站内的正常操作。通常由于服务端没有对请求头做严格过滤引起的。CSRF会造成密码重置,用户伪造等问题,可能引发严重后果。绝大多数网站是通过cookie等方式辨识用户身份,再予以授权的。所以要伪造用户的正常操作,最好的方法是通过XSS或链接欺骗等途径,让用户在本机(即拥有身份cookie的浏览器端)发起用户所不知道的请求。CSRF攻击会令用户在不知情的情况下攻击自己已经登录的系统。
漏洞影响
利用这个漏洞可以使受害者在不知情的情况下,向存在该漏洞的Web站点发送请求,最终以受害者的身份完成特定操作。
修复建议
1、验证请求的Referer是否来自本网站,但可被绕过。
2、在请求中加入不可伪造的token,并在服务端验证token是否一致或正确,不正确则丢弃拒绝服务。
漏洞5:SSRF
漏洞描述
SSRF(Server-SideRequestForgery,服务器端请求伪造):通俗的来说就是我们可以伪造服务器端发起的请求,从而获取客户端所不能得到的数据。SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数,并且未对客户端所传输过来的URL参数进行过滤。
漏洞影响
(1)、可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息;
(2)、攻击运行在内网或本地的应用程序(比如溢出);
(3)、对内网Web应用进行指纹识别,通过访问默认文件实现;
(4)、攻击内外网的Web应用,主要是使用Get参数就可以实现的攻击(比如Struts2漏洞利用,SQL注入等);
(5)、利用File协议读取本地文件。
修复建议
1、禁用不需要的协议,只允许HTTP和HTTPS请求,可以防止类似于file://,gopher://,ftp://等引起的问题。
2、白名单的方式限制访问的目标地址,禁止对内网发起请求
3、过滤或屏蔽请求返回的详细信息,验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
4、验证请求的文件格式
5、禁止跳转
6、限制请求的端口为http常用的端口,比如80、443、8080、8000等
7、统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态。
漏洞6:任意命令/代码执行
漏洞描述
命令或代码执行漏洞是指代码未对用户可控参数做过滤,导致直接带入执行命令和代码,通过漏洞执行恶意构造的语句,执行任意命令或代码。攻击者可在服务器上执行任意命令,读写文件操作等,危害巨大。
漏洞影响
可以获取系统权限,接管系统,执行任意操作。
修复建议
1、严格过滤用户输入的数据,禁止执行非预期系统命令。
2、减少或不使用代码或命令执行函数
3、客户端提交的变量在放入函数前进行检测
4、减少或不使用危险函数
漏洞6:任意文件上传
漏洞描述
文件上传漏洞通常由于代码中对文件上传功能所上传的文件过滤不严或web服务器相关解析漏洞未修复而造成的,如果文件上传功能代码没有严格限制和验证用户上传的文件后缀、类型等,攻击者可通过文件上传点上传任意文件,包括网站后门文件(webshell)控制整个网站。
漏洞影响
攻击者可通过文件上传点上传webshell控制整个网站。
修复建议
1、对上传文件类型进行验证,除在前端验证外在后端依然要做验证,后端可以进行扩展名检测,重命名文件,MIME类型检测以及限制上传文件的大小等限制来防御,或是将上传的文件其他文件存储服务器中。
2、严格限制和校验上传的文件,禁止上传恶意代码的文件。同时限制相关上传文件目录的执行权限,防止木马执行。
3、对上传文件格式进行严格校验,防止上传恶意脚本文件;
4、严格限制上传的文件路径。
5、文件扩展名服务端白名单校验。
6、文件内容服务端校验。
7、上传文件重命名。
8、隐藏上传文件路径。
漏洞7:任意文件下载
漏洞描述
由于未对用户查看或下载的文件做限制,恶意用户就能够查看或下载任意的文件,可以是源代码文件、敏感文件等、如脚本代码、服务及系统配置文件等,攻击者可用得到的代码进一步代码审计,得到更多可利用漏洞。
漏洞影响
攻击可以下载网站任意文件,比如源代码、配置文件等,还可以进一步审计其他漏洞
修复建议
过滤.(点),使用户在url中不能回溯上级目录。正则严格判断用户输入参数的格式,限定用户访问范围。将下载区独立出来,放在项目路径外,给每个下载资源固定的URL,而不是所有的下载资源都是统一的URL。
漏洞8:任意文件读取
漏洞描述
通过提交专门设计的输入,攻击者就可以在被访问的文件系统中读取或写入任意内容,往往能够使攻击者从服务器上获取敏感信息文件。
漏洞影响
攻击者可以读取网站任意文件,包括配置文件等敏感信息。
修复建议
过滤点(.)使用户在url中不能回溯上级目录。正则严格判断用户输入参数的格式,限定用户可访问范围
漏洞9:目录穿越/目录遍历
漏洞描述
文件下载或获取文件显示内容页面由于未对传入的文件名进行过滤,利用路径回溯符../跳出程序本身的限制目录,来下载或显示任意文件。
漏洞影响
攻击者可以通过该漏洞来下载显示网站目录下的任意文件。
修复建议
对传入的文件名参数进行过滤,并且判断是否是允许获取的文件类型,过滤回溯符../。
漏洞10:文件包含
漏洞描述
本地文件包含是指程序在处理包含文件的时候没有严格控制。利用这个漏洞,攻击者可以先把上传的文件、网站日志文件等作为代码执行或直接显示出来,或者包含远程服务器上的恶意文件,进而获取到服务器权限。
漏洞影响
攻击者可以先把上传的文件、网站日志文件等作为代码执行或直接显示出来,或者包含远程服务器上的恶意文件,进而获取到服务器权限。
修复建议
1、严格检查变量是否已经初始化。
2、对所有输入提交可能包含的文件地址,包括服务器本地文件及远程文件,进行严格的检查,参数中不允许出现./和../等目录跳转符。
3、严格检查文件包含函数中的参数是否外界可控。
漏洞11:弱口令
漏洞描述
由于网站用户帐号存在弱口令,导致攻击者通过弱口令可轻松登录到网站中,从而进行下一步的攻击,如上传webshell,获取敏感数据。
漏洞影响
攻击者利用弱口令登录网站管理后台,可执行管理员的操作。
修复建议
1、强制用户首次登录时修改默认口令,或是使用用户自定义初始密码的策略;
2、完善密码策略,信息安全最佳实践的密码策略为8位(包括)以上字符,包含数字、大小写字母、特殊字符中的至少3种。
3、增加人机验证机制,限制ip访问次数。
漏洞12:明文传输漏洞
漏洞描述
http明文传输协议,导致管理员admin密码泄露,同时该系统登录失败处理功能存在安全问题,登录失败提示admin用户存在且密码错误信息,由于系统未应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,导致可暴力破解,成功爆破出密码,一直攻击者成功破解或者截获密码,管理员可任意重置用户密码,导致系统数据泄露。
漏洞影响
明文传输漏洞可以导致数据在传输过程中泄露,比如导致管理员密码泄露
修复建议
建议应用系统增加除用户名/口令以外的身份鉴别技术,如密码/令牌、生物鉴别方式等,实现双因子身份鉴别,增强身份鉴别的安全力度。
建议采用密码技术确保重要数据在传输过程中的保密性。
漏洞13:慢HTTP拒绝服务攻击漏洞
漏洞描述
根据HTTP协议规定,服务器在处理请求之前,需要接收完整的HTTP请求。所以如果HTTP请求未接收完整,或者网络传输速率非常慢,服务器会保留其资源,直到其余的数据也接收完成为止。如果未完成的请求过多,就会占用服务器大量资源,从而导致拒绝服务攻击。攻击者利用此漏洞可只使用较少的资源即可导致系统崩溃,运行中断。
漏洞影响
通过该漏洞可造成DOS攻击,导致系统服务崩溃。
修复建议
[1]配置WEBServer相应文件,设置一个合适的超时时间(如5000ms),以及时释放资源。
[2]升级WEBServer版本
(1)通过server.xml内定义的连接器的connectionTimeout属性,配置一个合适的超时时间。如5000
(2)配置防火墙相关设置,将需要访问ApacheTomcat服务器的主机限制到最小范围。
(3)升级WEBServer版本,或参考如下建议。
漏洞14:内部IP地址泄露
漏洞描述
RFC1918规定了保留给私人网络使用的IP地址范围,这些地址不能在公共互联网上进行路由传输。虽然攻击者可以通过各种方法确定一个组织使用的公网IP地址,但内部使用的私有地址通常不能用同样的方法确定。
漏洞影响
网站的内部IP地址,常常被攻击者通过信息收集,得到其内网的IP地址,对于渗透攻击,打下良好基础,
修复建议
通常情况下,没有任何理由披露一个组织基础设施内使用的内部IP地址。
如果这些地址是在服务横幅或调试消息中返回的,那么相关的服务应该被配置为屏蔽私人地址。
如果它们被用于跟踪后端服务器以达到负载平衡的目的,那么地址应该用无害的标识符重写,使得攻击者无法从中推断出任何有关基础设施的有用信息。
漏洞15:服务器支持低版本SSL/TLS协议
漏洞描述
在测试中发现服务器支持低版本的TLS1.0和TLS1.1协议,这些协议存在公开的漏洞建议,应该禁止使用。
漏洞影响
历史版本存在漏洞,可能遭到攻击
修复建议
禁用旧版TLS协议
漏洞16:支持SSL弱密码套件
漏洞描述
为了保证数据传输的安全,TLS/SSL使用一个或多个密码套件。密码套件是认证、加密和消息认证码(MAC)算法的组合,它们在协商TLS/SSL连接的安全设置以及数据传输时使用。我们在测试中发现服务器支持部分旧的或过时的密码套件,这些密码套件应该禁止使用。
漏洞影响
旧的密码套件可能导致数据在传输过程中泄露。
修复建议
根据你的业务使用情况(例如需要支持旧版浏览器和监管要求),你可能需要使用略有不同的密码套件配置。你可以根据实际情况,使用MozillaSSL配置生成器来获得一个最佳的TLS配置,使用不同的浏览器配置文件。链接如下:
https://mozilla.github.io/server-side-tls/ssl-config-generator/
漏洞17:在Web服务器上发现不必要的文件
漏洞描述
发现服务器上存在一些和系统正常运行无关的文件,这些文件可能包含一些敏感信息,这类文件包括但不限于备份文件、库文件、归档文件、数据库导入/导出文件。可能造成敏感信息的泄露,攻击者可借此发起更加具有针对性的攻击。
漏洞影响
可能泄露敏感信息,包括但不限于备份文件、库文件、归档文件、数据库导入/导出文件
修复建议
建议删除这类不必要的文件,或将其移动到Web目录以外的路径进行存储,确保攻击者不能够获取到这类文件。
漏洞18:Jquery版本过低
漏洞描述
Web网站中所调用的JavaScript库版本较低,存在跨站脚本执行漏洞。
漏洞影响
Web网站中所调用的JavaScript库版本较低,存在跨站脚本执行漏洞。
修复建议
更新升级相应的JavaScript库
漏洞19:日志文件泄露
漏洞描述
日志文件是用于记录系统操作事件的记录文件或文件集合,操作系统有操作系统日志文件,数据库系统有数据库系统日志文件,等等。如果非授权用户可以访问这些信息,将会泄露敏感信息,可能包括用户名,数据库语句,字段等等。
漏洞影响
导致泄露敏感信息,包括但不限于密码和数据库语句等。
修复建议
[1]将日志文件转移到其他合理的位置。
[2]设置相应权限,只允许相关用户访问
漏洞20:Apache软件版本较低
漏洞描述
主机使用的Apache软件版本过低(当前Apache/1.3.28)导致存在多个高危漏洞,可能存在溢出、注入、跨站脚本漏洞等等。
漏洞影响
旧版本的apache存在多种漏洞,可能存在溢出漏洞、注入、跨站脚本漏洞等。
修复建议
升级Apache到最新版本,升级前请先做好备份。
漏洞21:WebLogic软件版本较低
漏洞描述
主机使用的WebLogic软件版本过低导致存在多个中高危漏洞,可能存在溢出、注入、跨站脚本漏洞等等。
漏洞影响
旧版本的WebLogic存在多种漏洞,可能存在溢出漏洞、注入、跨站脚本漏洞等。
修复建议
[1]升级WebLogic到最新版本,升级前请先做好备份。
漏洞22:Tomcat软件版本较低
漏洞描述
主机使用的Tomcat软件版本过低,导致存在多个高危漏洞。包括溢出、跨站脚本漏洞、拒绝服务攻击漏洞等等。
漏洞影响
主机使用的Tomcat软件版本过低,导致存在多个高危漏洞。包括溢出、跨站脚本漏洞、拒绝服务攻击漏洞等等。
修复建议
[1]升级Tomcat到最新版本,升级前请先做好备份。
漏洞23:Nginx软件版本较低
漏洞描述
主机使用的Nginx软件版本过低导致存在多个高危漏洞。包括溢出、拒绝服务攻击漏洞等等。
漏洞影响
主机使用的Nginx软件版本过低,导致存在多个高危漏洞。包括溢出、跨站脚本漏洞、拒绝服务攻击漏洞等等。
修复建议
[1]升级Nginx到最新版本,升级前请先做好测试及备份。
漏洞24:PHP软件版本较低
漏洞描述:主机使用的PHP软件版本过低导致存在多个高危漏洞。包括溢出、拒绝服务攻击漏洞等等。
漏洞影响
主机使用的PHP软件版本过低导致存在多个高危漏洞。包括溢出、拒绝服务攻击漏洞等等。
修复建议
[1]升级PHP到最新版本,升级前请先做好备份。
漏洞25:暴力破解
漏洞描述
由于没有对登录页面进行相关的人机验证机制,如无验证码、有验证码但可重复利用以及无登录错误次数限制等,导致攻击者可通过暴力破解获取用户登录账号和密码。
漏洞影响
攻击者可通过暴力破解获取用户登录账号和密码。
修复建议
1、如果用户登录次数超过设置的阈值,则锁定帐号(有恶意登录锁定帐号的风险)
2、如果某个 IP登录次数超过设置的阈值,则锁定IP
3、增加人机验证机制
4、验证码必须在服务器端进行校验,客户端的一切校验都是不安全的。
漏洞26:缺少防范暴力破解的措施
漏洞描述
暴力破解攻击通常用于攻击Web应用程序内的认证策略,当认证策略存在缺陷时,攻击者可以使用常见的用户名和密码列表对用户名或密码字段进行猜解,直到认证成功。
漏洞影响
攻击者可以使用常见的用户名和密码列表对用户名或密码字段进行猜解,直到认证成功。
修复建议
常见的防范暴力破解的方法有以下方法:
增加安全的人机验证机制(例如验证码),并且验证码必须在服务器端进行校验,客户端的一切校验都是不安全的。
如果用户登录次数超过设置的阈值,则锁定帐号(有恶意登录锁定帐号的风险)。
如果某个IP登录次数超过设置的阈值,则锁定IP。
漏洞27:用户名枚举
漏洞描述
该漏洞存在于系统登陆页面,利用登陆时输入不存在用户名和正确用户名但密码错误时的回显信息不同这一特点,可枚举出系统中存在的账号信息。
漏洞影响
攻击者可以枚举出系统中存在的账号信息
修复建议
该漏洞可以通过设置输入“不存在用户名”和“正确用户名但密码错误”的回显信息相同——例如“用户名或密码错误”来防范。除此之外,还可以结合常见的防范暴力破解的方法:
增加安全的人机验证机制(例如验证码),并且验证码必须在服务器端进行校验,客户端的一切校验都是不安全的。
如果用户登录次数超过设置的阈值,则锁定帐号(有恶意登录锁定帐号的风险)。
如果某个IP登录次数超过设置的阈值,则锁定IP。
漏洞28:越权访问
漏洞描述
访问控制是为了防止用户执行预期权限之外的操作。当这些访问控制存在漏洞时,用户便可以执行预期权限之外操作,这可能允许攻击者从其他用户那里窃取信息、修改数据,或以其他用户的身份进行其他敏感操作。
访问控制策略分为两类:水平访问控制和垂直访问控制,
其作用分别如下:
垂直访问控制:不同类型和权限的用户角色可以访问不同的应用程序功能。例如,管理员可能可以修改或删除任何用户的账户,而普通用户则无法访问这些操作。
水平访问控制:不同的用户可以访问同一类型的应用功能。例如,一个银行应用程序将允许用户查看交易和从他们自己的账户进行支付,但不允许对任何其他用户的账户进行操作。
对应以上两种访问控制策略,违反访问控制漏洞也分为两类:水平权限升级和垂直权限升级。
水平权限升级:当一个用户可以以另一个拥有相同权限的用户的身份来执行操作时,就会产生水平权限升级漏洞。
垂直权限升级:当一个用户可以执行一个操作,而该操作所需的权限级别超出了他们的角色时,就会产生垂直权限升级漏洞。
漏洞影响
攻击者可以获取到当前角色无法拥有的权限,比如越权查看管理员或者同等级用户的信息等。
修复建议
一般来说,可以通过在代码开发时遵循以下原则,来防止访问控制漏洞:
切勿仅仅依靠混淆来进行访问控制。
除非资源是要公开访问的,否则默认拒绝访问。
只要有可能,就使用单一的应用程序范围的机制来执行访问控制。
在代码层面,强制要求开发人员声明每个资源的访问权限,并设置默认方式为拒绝访问。对访问控制进行彻底的审计和测试,以确保其按设计的方式运行。
漏洞29:未授权访问
漏洞描述
由于没有对网站敏感页面进行登录状态、访问权限的检查,导致攻击者可未授权访问,获取敏感信息及进行未授权操作。
漏洞影响
攻击者可未授权访问,获取敏感信息及进行未授权操作。
修复建议
1、页面进行严格的访问权限的控制以及对访问角色进行权限检查。
2、可以使用session对用户的身份进行判断和控制。
漏洞30:列目录
漏洞描述
由于web服务器配置不当,开启了目录浏览,攻击者可获得服务器上的文件目录结构,获取敏感文件。
漏洞影响
攻击者可获得服务器上的文件目录结构,获取敏感文件
修复建议
1、通过修改配置文件,禁止中间件(如IIS、apache、tomcat)的文件目录索引功能
2、设置目录访问权限
漏洞31:PHP反序列化
漏洞描述
php反序列化漏洞也叫PHP对象注入,形成原因为程序未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行、文件操作、执行数据库操作等不可控后果。这一类攻击在java、python等面向对象语言中均存在。
漏洞影响
攻击者可以控制反序列化过程,从而导致代码执行、文件操作、执行数据库操作等
修复建议
1、对传入的对象进行严格的过滤检查
2、在反序列化过程执行的文件读写、命令或代码执行函数中是否有用户可控的参数。
漏洞32:httpslow拒绝服务攻击
漏洞描述
按照设计,HTTP协议要求服务器在处理之前完全接收请求。如果HTTP请求没有完成,或者传输速率非常低,服务器会保持其资源忙于等待其余数据。如果服务器保持太多的资源请求和处理,这将造成一个拒绝服务。严重者一台主机即可让web运行缓慢甚至是崩溃。
漏洞影响
攻击可以利用该漏洞发起dos漏洞,让web服务运行缓慢甚至崩溃。
修复建议
对于Apache可以做以下优化(其他服务器原理相同):
1、设置合适的timeout时间(Apache已默认启用了reqtimeout模块),规定了Header发送的时间以及频率和Body发送的时间以及频率
2、增大MaxClients(MaxRequestWorkers):增加最大的连接数。根据官方文档,两个参数是一回事,版本不同,MaxRequestWorkerswascalledMaxClientsbeforeversion2.3.13.Theoldnameisstillsupported.
3、默认安装的Apache存在SlowAttack的威胁,原因就是虽然设置的timeoute,但是最大连接数不够,如果攻击的请求频率足够大,仍然会占满Apache的所有连接
漏洞33:CRLF注入漏洞描述
漏洞描述
CRLF是“回车+换行”(\r\n)的简称。在HTTP协议中,HTTPHeader与HTTPBody是用两个CRLF符号进行分隔的,浏览器根据这两个CRLF符号来获取HTTP内容并显示。因此,一旦攻击者能够控制HTTP消息头中的字符,注入一些恶意的换行,就能注入一些会话Cookie或者HTML代码。
漏洞影响
攻击者能够控制HTTP消息头中的字符,注入一些恶意的换行,就能注入一些HTML代码,导致xss等漏洞。
修复建议
1、过滤\r、\n及其各种编码的换行符,避免输入的数据污染到其他HTTP消息头。
漏洞33:LDAP注入
漏洞描述
由于Web应用程序没有对用户发送的数据进行适当过滤和检查,攻击者可修改LDAP语句的结构,并且以数据库服务器、Web服务器等的权限执行任意命令,许可权可能会允许查询、修改或除去LDAP树状构造内任何数据。
漏洞影响
攻击者可修改LDAP语句的结构,并且以数据库服务器、Web服务器等的权限执行任意命令
修复建议
对用户的输入内容进行严格的过滤。
漏洞34:URL跳转漏洞描述
漏洞描述
当Web应用程序接受不受信任的输入时,可能会导致Web应用程序将请求重定向到不受信任的输入中包含的URL,这时就可能出现未经验证的重定向和转发。
漏洞影响
通过修改输入到恶意站点的不受信任的URL,攻击者可以成功启动网络钓鱼诈骗并窃取用户凭据。由于修改后的链接中的域名与原始域名相同,因此网络钓鱼将变得更难以分辨。未经验证的重定向和转发攻击也可以用来恶意制作一个能通过应用程序设置的访问控制检查的URL,借此将攻击请求转发到攻击者通常无法访问的特权功能。
修复建议
可以通过多种方式安全地使用重定向和转发:尽可能避免使用重定向和转发。如果必须使用,则不允许将URL作为用户输入的目标。在可能的情况下,让用户提供短名、ID或令牌,这些短名、ID或令牌将在服务器端映射到完整的目标URL。这可提供最高程度的保护,以防止攻击者篡改URL。如果无法避免用户输入,请确保提供的值有效,适合于应用程序并且已授权给用户。通过创建一个受信任的URL列表(主机列表或regex)来对输入进行过滤检查,注意这应该基于白名单的方法,而不是黑名单。强制所有重定向首先通过一个页面通知用户他们将离开你的网站,并清楚地显示目的地,并让他们点击一个链接来确认。
漏洞35:潜在的点击劫持
漏洞描述
点击劫持是一种基于用户界面的攻击方式,通过点击诱饵网站中的其他内容,诱导用户点击隐藏网站中的可操作内容。
这种技术依赖于在一个iframe中加入一个看不见的、可操作的网页(或多个网页),其中包含一个按钮或隐藏的链接,iframe被叠加在用户预期的诱饵网页内容之上。
漏洞影响
攻击者可通过该漏洞诱导用户加载攻击者预期防止的诱饵网页内容。
修复建议
有三种方法可以用来防御点击劫持攻击:
防止浏览器使用X-Frame-Options或内容安全策略(frame-ancestors)HTTP头文件在框架中加载页面。
使用SameSitecookie属性,防止页面在框架中加载时包含会话cookie。
在页面中实现JavaScript代码,以试图防止它被加载在一个框架中。
需要注意的是,这些机制都是相互独立的,在可能的情况下,应该实施其中一个以上的机制,以提供深度的防御。
漏洞36:明文传输
漏洞描述
用户登录过程中使用明文传输用户登录信息,若用户遭受中间人攻击时,攻击者可直接获取该用户登录账户,从而进行进一步渗透。
漏洞影响
通过中间人攻击,攻击者可直接获取该用户登录账户账号密码。
修复建议
1、用户登录信息使用加密传输,如密码在传输前使用安全的算法加密后传输,可采用的算法包括:不可逆hash算法加盐(4位及以上随机数,由服务器端产生);安全对称加密算法,如AES(128、192、256位),且必须保证客户端密钥安全,不可被破解或读出;非对称加密算法,如RSA(不低于1024位)、SM2等。
2、使用https来保证传输的安全。
漏洞37:网页木马
漏洞描述
经渗透测试发现目标站点存在webshell,攻击者可直接爆破口令使用木马,非常低成本的进行恶意操作。
漏洞影响
意味着该站点已经被入侵过,攻击者可以爆破前面攻击者webshell的口令,再前面攻击者的基础上进行恶意操作
修复建议
1、确认并删除木马文件,并进行本地文件漏洞扫描排查是否还存在有其他木马。
2、发现并及时修复已存在的漏洞。
3、通过查看日志、服务器杀毒等安全排查,确保服务器未被留下后门
漏洞38:备份文件泄露
漏洞描述
网站备份文件或、敏感信息文件存放在某个网站目录下,攻击者可通过文件扫描等方法发现并下载该备份文件,导致网站敏感信息泄露。
漏洞影响
攻击者可通过文件扫描等方法发现并下载该备份文件,导致网站敏感信息泄露。
修复建议
1、不在网站目录下存放网站备份文件或敏感信息的文件。
2、如需存放该类文件,请将文件名命名为难以猜解的无规则字符串。
漏洞39:敏感信息泄露
漏洞描述
在页面中或者返回的响应包中泄露了敏感信息,通过这些信息,给攻击者渗透提供了非常多的有用信息。
漏洞影响
泄露用户无权限获取到的信息,给后续入侵者的工作打下基础
修复建议
1、如果是探针或测试页面等无用的程序建议删除,或者修改成难以猜解的名字。
2、不影响业务或功能的情况下删除或禁止访问泄露敏感信息页面。
3、在服务器端对相关敏感信息进行模糊化处理。
4、对服务器端返回的数据进行严格的检查,满足查询数据与页面显示数据一致。
漏洞40:短信/邮件轰炸
漏洞描述
由于没有对短信或者邮件发送次数进行限制,导致可无限次发送短信或邮件给用户,从而造成短信轰炸,进而可能被大量用户投诉,从而影响公司声誉。
漏洞影响
可以无限制发送短信,消耗公司短信资源,给用户代理不好的体验,影响公司声誉。
修复建议
在服务器限制发送短信或邮件的频率,如同一账号1分钟只能发送1次短信或邮件,一天只能发送3次。
漏洞41:逻辑漏洞
漏洞描述
逻辑错误漏洞是指由于程序逻辑不严或逻辑太复杂,导致支付逻辑漏洞、登录注册方面的逻辑漏洞。
漏洞影响
根据功能点具体描述。
修复建议
重新设计功能的逻辑
漏洞42:phpinfo信息泄漏
漏洞描述
Web站点的某些测试页面可能会使用到PHP的phpinfo()函数,会输出服务器的关键信息,造成服务器信息泄露,为攻击提供有利的信息。
漏洞影响
通过phpinfo可以泄露服务器关键信息和用户关键信息。
修复建议
1、删除phpinfo函数。
2、若文件无用可直接删除。
漏洞42:IIS短文件名泄露漏洞
漏洞描述
InternetInformationServices(IIS,互联网信息服务)是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。MicrosoftIIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。危害:攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.NetFramework进行拒绝服务攻击。
攻击者可通过该漏洞尝试获取网站服务器文件的文件名,达到获取更多信息来入侵服务器的目的。
漏洞影响
通过该漏洞攻击者可以遍历服务器中的文件,然后进一步发起攻击。
修复建议
修改Windows配置,关闭短文件名功能。
1.关闭NTFS8.3文件格式的支持。该功能默认是开启的,对于大多数用户来说无需开启。
2.如果是虚拟主机空间用户,可采用以下修复方案:
1)修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1(此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除)。
2)如果你的web环境不需要asp.net的支持你可以进入Internet信息服务(IIS)管理器---Web服务扩展-ASP.NET选择禁止此功能。
3)升级netframework至4.0以上版本。
3.将web文件夹的内容拷贝到另一个位置,比如D:\www到D:\www.back,然后删除原文件夹D:\www,再重命名D:\www.back到D:\www。如果不重新复制,已经存在的短文件名则是不会消失的。
漏洞43:应用程序错误信息泄露
漏洞描述
攻击者可通过特殊的攻击向量,使web服务器出现500、403等相关错误,导致信息泄漏如绝对路径、webserver版本、源代码、sql语句等敏感信息,恶意攻击者很有可能利用这些信息实施进一步的攻击。
漏洞影响
可能导致信息泄漏如绝对路径、webserver版本、源代码、sql语句等敏感信息。
修复建议
1、自定义错误页面或使用统一的错误页面提示。
漏洞44:Crossdomain.xml配置不当
漏洞描述
网站根目录下的crossdomain.xml文件指明了远程Flash是否可以加载当前网站的资源(图片、网页内容、Flash等)。如果配置不当,可能导致遭受跨站请求伪造(CSRF)攻击。
漏洞影响
如果配置不当,可能导致遭受跨站请求伪造(CSRF)攻击。
修复建议
对于不需要从外部加载资源的网站,在crossdomain.xml文件中更改allow-access-from的domain属性为域名白名单。
漏洞45:目标服务器启用了不安全HTTP方法
漏洞描述
目标服务器启用了不安全的传输方法,如PUT、TRACE、DELETE、MOVE等,这些方法表示可能在服务器上使用了WebDAV,由于dav方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。
漏洞影响
攻击者可能发起PUT、DELETE请求向服务器上传任意文件或者删除服务器任意文件。
修复建议
1、关闭不安全的传输方法,只开启POST、GET方法。
2、如果服务器不使用WebDAV可直接禁用,或为允许webdav的目录配置严格的访问权限,如认证方法,认证需要的用户名,密码。
漏洞46:weblogicSSRF服务器请求伪造
漏洞描述
目标存在weblogicSSRF服务器请求伪造漏洞。WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。SSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。Weblogic中间件默认带有“UDDI目录浏览器”且为未授权访问,通过该应用,可进行无回显的SSRF请求。攻击者可利用该漏洞对企业内网进行大规模扫描,了解内网结构,并可能结合内网漏洞直接获取服务器权限。
漏洞描述
攻击者可以通过该漏洞扫描和攻击企业内网服务器
修复建议
1、若不影响业务则可删除uddiexplorer文件夹
2、限制uddiexplorer应用只能内网访问
漏洞47:ApacheStruts2远程代码执行漏洞(S2-019)
漏洞描述
ApacheStruts2的“DynamicMethodInvocation”机制是默认开启的,仅提醒用户如果可能的情况下关闭此机制,如果未关闭此机制将导致远程代码执行漏洞,远程攻击者可利用此漏洞在受影响应用上下文中执行任意代码。
漏洞影响
远程攻击者可利用此漏洞执行任意代码
修复建议
1、目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载。
2、或者手工设置struts.xml文件<constantname="struts.enable.DynamicMethodInvocation"value="false"/>
漏洞48:ApacheStruts2远程代码执行漏洞(S2-037)
漏洞描述
ApacheStruts2在使用REST插件时,攻击者可以绕过动态方法执行的限制,调用恶意表达式执行远程代码。
漏洞影响
远程攻击者可利用此漏洞执行任意代码
修复建议
建议用户到官方获取最新补丁或者最新版本程序。
漏洞49:ApacheStruts2DevMode远程代码执行漏洞
漏洞描述
为了便于开发人员调试程序,Struts2提供了一个devMode模式,可以方便查看程序错误以及日志等信息。当Struts2中的devMode模式设置为true时,存在严重远程代码执行漏洞。如果WebService启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。
漏洞影响
远程攻击者可利用此漏洞执行任意代码
修复建议
建议用户到官方获取最新补丁或者最新版本程序。
或者将struts.properties中的devMode设置为false,或是在struts.xml中添加如下代码:<constantname="struts.devMode"value="false"/>。
漏洞50:ApacheStruts2远程代码执行漏洞(S2-045)
漏洞描述
ApacheStruts2的JakartaMultipartparser插件存在远程代码执行漏洞,漏洞编号为CVE-2017-5638。攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。
漏洞影响
远程攻击者可利用此漏洞执行任意代码
修复建议
检测方式查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar,如果这个版本在Struts2.3.5到Struts2.3.31以及Struts2.5到Struts2.5.10之间则存在漏洞。
1、建议用户到官方获取最新补丁或者最新版本程序。
2、更新至Strusts2.3.32或者Strusts2.5.10.1,或使用第三方的防护设备进行防护。
3、临时修复建议:删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)。
4、修改WEB-INF/classes目录下的配置
在WEB-INF/classes目录下的struts.xml中的struts标签下添加
<constantname=”struts.custom.i18n.resources”value=”global”/>;
在WEB-INF/classes/目录下添加global.properties,文件内容如下:
struts.messages.upload.error.InvalidContentTypeException=1
漏洞51:ApacheStruts2远程代码执行漏洞(S2-033)
漏洞描述
ApacheStruts2在开启动态方法调用(DynamicMethodInvocation)的情况下,攻击者使用REST插件调用恶意表达式可以远程执行代码。
漏洞影响
远程攻击者可利用此漏洞执行任意代码
修复建议
1、用户到官方获取最新补丁或者最新版本程序。
2、或者在允许的情况下禁用动态方法调用(DynamicMethodInvocation),修改Struts2的配置文件struts.xml,将struts.enable.DynamicMethodInvocation设置为“false”。
漏洞52:权限提升
漏洞描述
权限提升是指利用系统中的安全漏洞或是别的方法使得自己突破了原来的限制,能够非法访问对方目录甚至是使得自己能够向管理员那样来获取整个系统控制,简称提权。
漏洞影响
能够非法访问对方目录甚至是使得自己能够向管理员那样来获取整个系统控制
修复建议
定期进行固件、中间件的升级。
不要给员工设置工作之外的权限。
对文件格式限制,只允许某些格式上传。
漏洞53:会话Cookies未被标记为HTTPOnly
漏洞描述
如果在cookie上设置了HttpOnly属性,那么cookie的值就不能被客户端的JavaScript读取或设置。这项措施使某些客户端攻击(如跨站点脚本)更难被利用,因为它防止了客户端攻击通过注入脚本来获取cookie的值。
漏洞影响
未将cookies字段设置httponly,攻击者通过xss可以获取完整的cookie值。
修复建议
通常建议对所有的cookie都设置HttpOnly标志。除非你特别要求在你的应用程序中,通过合法的客户端脚本来读取或设置cookie的值,否则你应该通过在相关的Set-cookie方法中包含这个属性来设置HttpOnly标志。
漏洞54:会话Cookies未被标记为Secure
漏洞描述
如果在cookie上设置了Secure标志,那么浏览器将不会在任何使用未加密的HTTP连接的请求中提交cookie,从而防止cookie被嗅探网络流量的攻击者轻易截获。
漏洞影响
未将cookies字段设置为Secure,攻击者可以嗅探网络流量获取cookie。
修复建议
在通过HTTPS访问内容时,应在所有用于传输敏感数据的Cookie上设置Secure标志。如果cookie用于传输会话令牌,那么通过HTTPS访问的应用程序区域应采用自己的会话处理机制,而且所使用的会话令牌绝不应通过未加密的HTTP通信传输。
漏洞55:Tomcat管理控制台页面泄露
漏洞描述
Tomcat默认存在一个管理后台,若未对账户登录错误次数做限制。可通此后台可以在不重启Tomcat服务的情况下方便的部署、启动、停止或卸载WEB应用。但是,如果配置不当的话就存在很大的安全隐患。攻击者利用这个弱点可以非常快速、轻松的入侵一台服务器。
漏洞影响
攻击可以通过该页面爆破tomcat账号密码,然后进一步上传webshell获取权限。
修复建议
删除控制台页面或者做权限验证
漏洞56:IIS短文件名枚举漏洞
漏洞描述
MicrosoftIIS处理波浪符号存在一个短文件/文件夹名泄露问题,攻击者可利用此漏洞枚举web目录中的文件,从而获取敏感信息或.NetFramework的拒绝服务攻击
漏洞影响
攻击者可利用此漏洞枚举web目录中的文件,从而获取敏感信息或.NetFramework的拒绝服务攻击
修复建议
[1]升级.NETFramework:
[2]如果你的web环境不需要asp.net的支持你可以进入Internet信息服务(IIS)管理器---Web服务扩展-ASP.NET选择禁止此功能。
[3]禁止url中使用“~”或它的Unicode编码。
[4]或修改注册表[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem]"NtfsDisable8dot3NameCreation"=dword:1
漏洞57:远程管理端口未过滤
漏洞描述
端口号22、3389、4899、5631、5901等是默认的远程管理通信端口。连接上相应端口,输入管理员账号密码之后,即可对服务器进行远程管理。远程管理端口如果对非管理员开放,恶意用户可通过猜解密码或者远程溢出等漏洞,从而对服务器进行远程控制。
漏洞影响
恶意用户可通过猜解密码或者远程溢出等漏洞,从而对服务器进行远程控制。
修复建议
[1]限制可访问远程管理端口的IP范围,建议只允许内网管理网网段访问;如需从互联网访问,采用通过VPN再访问。
[2]把默认的远程管理端口修改为其他端口
[3]配置账号管理策略,如:密码输入错误3次后锁定账号
[4]及时升级操作系统补丁(升级前做好相应备份)
漏洞58:数据库端口未过滤
漏洞描述
端口号1433、1521、3306等是默认的数据库通信端口。连接上相应端口,输入管理员账号密码之后,即可远程访问数据库中的数据。数据库端口如果对非管理员开放,恶意用户可通过猜解密码或者远程溢出等漏洞,从而访问数据库敏感数据,甚至控制数据库所在服务器。
漏洞影响
恶意用户可通过猜解密码或者远程溢出等漏洞,从而访问数据库敏感数据,甚至控制数据库所在服务器。
修复建议
[1]限制可访问数据库端口的IP范围,一般情况只允许应用服务器访问即可。
[2]把默认的数据库通信端口修改为其他端口
[3]配置账号管理策略,如:密码输入错误3次后锁定账号
[4]及时升级数据库系统补丁(升级前做好相应备份)
漏洞59:FTP可匿名访问
漏洞描述
FTP是TCP/IP网络上两台计算机传送文件的协议,运行FTP服务的站点如果开放匿名服务,用户不需要帐号就可以登录服务器,默认情况下,匿名用户的用户名是:“anonymous”。这个帐号不需要密码即可访问FTP服务器上的文件,存在泄露敏感文件的风险。
漏洞影响
攻击不需要密码即可访问FTP服务器上的文件,存在泄露敏感文件的风险。
修复建议
[1]FTP服务器如有敏感信息,应该关闭匿名访问功能
[2]及时升级FTP相关补丁(升级前做好相应备份)
[3]如该FTP服务非必要功能,建议关闭FTP服务
漏洞60:Apacheserver-info信息泄露
漏洞描述
Apache/server-info文件显示了Apache的配置信息,为攻击者展开其他类型的攻击提供有利信息,降低攻击的难度。
漏洞影响
泄露了Apache的配置信息,为攻击进一步攻击打下基础。
修复建议
[1]一般情况下,应禁止普通用户访问。
[2]如果不需要该功能,可通过配置文件httpd.conf关闭该功能
漏洞61:暗链
漏洞描述
网页中可能被插入看不见的链接,用来提高某些网站在搜索引擎中的排名。
漏洞影响
暗链所指向的网站通常是不正规的网站,甚至是非法网站,这些网站存在欺诈、木马、钓鱼,间接危害普通用户。
修复建议
[1]网站中的暗链如果非正常业务内容,建议删除
[2]查找可插入暗链的漏洞,从根本上防止攻击者重新插入暗链
漏洞62:http参数污染
漏洞描述
http参数污染漏洞被定义为通过注入查询字符串、分隔符来达到覆盖或添加HTTPGET/POST参数的目的。由于HTTP协议是允许客户端提交同名的参数,而Web服务器对同样名称的参数出现多次的处理方式不一样,若程序未对同名参数进行适当地处理,则会存在该漏洞。
例如在参数名为test的字段注入了字符串”123&test=456”,服务器接收到该数据后,处理的数据可能是“123”,也可能是“456”,成功利用此漏洞有可能改变原本web应用程序执行的本意从而造成一定的安全风险。
漏洞影响
攻击者通过该漏洞可以绕过waf发起SQL注入等攻击。
修复建议
[1]对用户的输入进行严格过滤,包括所有的参数,URL和HTTP头部等所有需要传给服务器的数据。
包括但不限于以下字符
()[]<>,.;:'"#%+&-_=/*@
[2]对出现同名参数情况进行处理
漏洞63:HTTPHost头攻击
漏洞描述
由于HTTPHost头的值可由攻击者控制,开发人员如果信任HTTPHost头的值并使用它来生成链接,导入脚本,甚至生成密码重置链接的值,将会可能导致生成的链接地址不是正确的地址,而攻击者设定的地址,从而使用户访问了恶意网站。
漏洞影响
可以控制HTTPHost头生成链接,诱导用户访问恶意的网站。
修复建议
[1]通过SERVER_NAME获取域名,禁止通过hostheader来获取域名
[2]禁用X-Forwarded-Host头部
[3]如果必须通过hostheader来获取域名,需设置Host白名单,以确保HTTPHost头的值可信。
漏洞64:心脏出血漏洞
漏洞描述
Heartbleed漏洞,这项严重缺陷(CVE-2014-0160)的产生是由于未能在memcpy()调用受害用户输入内容作为长度参数之前正确进行边界检查。攻击者可以追踪OpenSSL所分配的64KB缓存、将超出必要范围的字节信息复制到缓存当中再返回缓存内容,这样一来受害者的内存内容就会以每次64KB的速度进行泄露。
漏洞影响
攻击者可通过该漏洞读取缓存中的内容,泄露信息。
修复建议
[1]升级OpenSSL至最新版本
漏洞65:HTTP.sys远程代码执行漏洞
漏洞描述
远程执行代码漏洞存在于HTTP协议堆栈(HTTP.sys)中,当HTTP.sys未正确分析经特殊设计的HTTP请求时会导致此漏洞。成功利用此漏洞的攻击者可以在系统帐户的上下文中执行任意代码。
漏洞影响
攻击者可以通过该漏洞执行任意代码。
修复建议
[1]微软已发布补丁MS15-034,补丁下载漏洞地址:
https://technet.microsoft.com/zh-CN/library/security/ms15-034.aspx
漏洞66:长密码拒绝服务攻击漏洞
漏洞描述
当用户输入的密码长度过长,比如100000字符,服务器查询该密码是否存在时,会花费非常长的时间,可能达20秒以上,从而占用服务器的资源。如果恶意用户同时发送多个长密码请求,可导致服务器无法为其他正常用户提供服务,从而实现拒绝服务攻击。
漏洞影响
攻击者可以利用该漏洞发起DOS攻击,中断web服务。
修复建议
[1]对于密码长度过长的情况,如50个字符以上,直接拒绝登录,不执行数据库查询操作。
漏洞67:Redis未授权
漏洞描述
redis默认没有口令可能会造成未授权访问造成信息泄露,若redis为高权限账户运行,可能导致服务器权限丢失等。
漏洞影响
攻击者可以直接连接redis数据库,进一步通过上传webshell、设置定时任务、写ssh公钥、主从复制等操作获取系统权限。
安全建议
1.禁用一些高危命令如:flushdb,flushall,config,keys等
2.以低权限运行Redis服务
3.为Redis添加密码验证
4.禁止外网访问Redis
5.保证authorized_keys文件的安全
漏洞68:Jenkins未授权访问
漏洞描述
默认情况下Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令,攻击者可通过未授权访问漏洞或者暴力破解用户密码等进脚本执行界面从而获取服务器权限,可导致服务器沦陷,或写入WEBSHELL。
漏洞影响
攻击者可通过未授权访问漏洞或者暴力破解用户密码等进脚本执行界面从而获取服务器权限
修复建议
禁止把Jenkins直接暴露在公网。
添加认证,设置强密码复杂度及设置账号锁定机制。
漏洞69:MongoDB未授权访问
漏洞描述
开启MongoDB服务时不添加任何参数时,默认是没有权限验证的,而且可以远程访问数据库,登录的用户可以通过默认端口无需密码对数据库进行增、删、改、查等任意高危操作。
漏洞影响
攻击者可以未授权访问数据库,对数据库进行增、删、改、查等任意高危操作
修复建议
为MongoDB添加认证。
禁用HTTP和REST端口。
限制绑定IP。
漏洞70:ZooKeeper未授权访问
漏洞描述
Zookeeper的默认开放端口是e181。Zookeeper安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用Zookeeper,通过服务器收集敏感信息或者在Zookeeper集群内进行破坏(比如:kill命令)。攻击者能够执行所有只允许由管理员运行的命令。
漏洞影响
攻击者能够执行所有只允许由管理员运行的命令。
修复建议
禁止把Zookeeper直接暴露在公网。
添加访问控制,根据情况选择对应方式(认证用户,用户名密码)。
绑定指定IP访问。
漏洞71:Elasticsearch未授权访问
漏洞描述
Elasticsearch是一款java编写的企业级搜索服务。越来越多的公司使用ELK作为日志分析,启动此服务默认会开放9200端口,可被非法操作数据。
漏洞影响
攻击者可以未授权访问数据库,非法操作数据
修复建议
防火墙上设置禁止外网访问9200端口。
使用Nginx搭建反向代理,通过配置Nginx实现对Elasticsearch的认证。
限制IP访问,绑定固定IP。
在config/elasticsearch.yml中为9200端口设置认证。
漏洞72:Memcache未授权访问
漏洞描述
Memcached是一套常用的key-value缓存系统,由于它本身没有权限控制模块,所以对公网开放的Memcache服务很容易被攻击者扫描发现,攻击者通过命令交互可直接读取Memcached中的敏感信息。
漏洞影响
攻击者通过命令交互可直接读取Memcached中的敏感信息。
修复建议
设置memchached只允许本地访问。
禁止外网访问Memcached11211端口。
编译时加上–enable-sasl,启用SASL认证。
漏洞73:Hadoop未授权访问
漏洞描述
由于服务器直接在开放了Hadoop机器HDFS的50070web端口及部分默认服务端口,黑客可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作,产生极大的危害。
漏洞影响
攻击者可以通过命令行操作多个目录下的数据,如进行删除,下载,目录浏览甚至命令执行等操作。
修复建议
如无必要,关闭HadoopWeb管理页面。
开启身份验证,防止未经授权用户访问。
设置“安全组”访问控制策略,将Hadoop默认开放的多个端口对公网全部禁止或限制可信任的IP地址才能访问包括50070以及WebUI等相关端口。
漏洞74:Docker未授权访问
漏洞描述
DockerRemoteAPI是一个取代远程命令行界面(rcli)的RESTAPI。通过dockerclient或者http直接请求就可以访问这个API,通过这个接口,攻击者可以新建container,删除已有container,甚至是获取宿主机的shell。
漏洞影响
攻击者可以新建container,删除已有container,甚至是获取宿主机的shell。
修复建议
在不必需的情况下,不要启用docker的remoteapi服务,如果必须使用的话,设置ACL,仅允许信任的来源IP连接,设置TLS认证。
客户端连接时需要设置以下环境变量exportDOCKER_TLS_VERIFY=1
exportDOCKER_CERT_PATH=~/.dockerexportDOCKER_HOST=tcp://10.10.10.10:2375exportDOCKER_API_VERSION=1.12
在dockerapi服务器前面加一个代理,例如nginx,设置401认证
漏洞75:JBoss未授权访问
漏洞描述
在低版本中,默认可以访问Jbossweb控制台(http://127.0.0.1:8080/jmx-console),无需用户名和密码。攻击者可通过漏洞上传木马。
漏洞影响
攻击者无需用户名和密码,即可通过漏洞上传木马
修复建议
1.对jmx控制页面添加访问控制;
2.修改JMXConsole的配置
漏洞76:VCN未授权访问
漏洞描述
VNC是基于UNXI和Linux的免费开源软件由VNCServer和VNCViewer两部分组成。VNC默认端口号为5900、5901。VNC未授权访问漏洞如被利用可能造成恶意用户直接控制target主机。
漏洞影响
VNC未授权访问漏洞如被利用可能造成恶意用户直接控制target主机。
修复建议
1.配置VNC客户端登录口令认证并配置符合密码强度要求的密码
2.以最小普通权限身份运行操作系统
漏洞77:Rsync未授权访问
漏洞描述
Rsync(remotesynchronize)是一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件,也可以同步本地硬盘中的不同目录。Rsync默认允许匿名访问,如果在配置文件中没有相关的用户认证以及文件授权,就会触发隐患。Rsync的默认端口为 837。
漏洞影响
攻击者可以通过rsync未授权漏洞写入定时任务获取服务器shell。
修复方法
1.账户认证:正确配置认证用户名及密码。
2.权限控制:使用合理的权限。
3.网络访问控制:控制接入源ip
4.数据加密传输等
漏洞78:CouchDB未授权访问
漏洞描述
ApacheCouchDB默认会在5984端口开放Restful的API接口,如果使用SSL的话就会监听在6984端口,用于数据库的管理功能。其HTTPServer默认开启时没有进行验证,而且绑定在0.0.0.0,所有用户均可通过API访问导致未授权访问。
在官方配置文档中对HTTPServer的配置有WWW-Authenticate:Setthisoptiontotriggerbasic-authpopuponunauthorizedrequests,但是很多用户都没有这么配置,导致漏洞产生。
漏洞影响
攻击者可以通过该漏洞获取到服务器shell。
修复建议
1.绑定指定ip
2.设置访问密码
漏洞79:JupyterNotebook未授权访问
漏洞描述
如果管理员未为JupyterNotebook配置密码,将导致未授权访问漏洞,游客可在其中创建一个console并执行任意Python代码和命令。
漏洞影响
攻击者可以创建一个console并执行任意Python代码和命令。
修复方法
1.开启身份验证,防止未经授权用户访问
2.访问控制策略,限制IP访问,绑定固定IP
漏洞80:AtlassianCrowd未授权访问漏洞
漏洞描述
AtlassianCrowd和CrowdDataCenter在其某些发行版本中错误地启用了pdkinstall开发插件,使其存在安全漏洞。攻击者利用该漏洞可在未授权访问的情况下对AtlassianCrowd和CrowdDataCenter安装任意的恶意插件,执行任意代码/命令,从而获得服务器权限。
漏洞影响
攻击者利用该漏洞可在未授权访问的情况下对AtlassianCrowd和CrowdDataCenter安装任意的恶意插件,执行任意代码/命令,从而获得服务器权限。
修复方法
1.设置访问/crowd/admin/uploadplugin.action的源ip
2.升级最新版本(3.5.0以上)。
漏洞81:Druid未授权访问
漏洞描述
Druid是阿里巴巴数据库出品的,为监控而生的数据库连接池,并且Druid提供的监控功能,监控SQL的执行时间、监控WebURI的请求、Session监控,首先Druid是不存在什么漏洞的。但当开发者配置不当时就可能造成未授权访问。
漏洞影响
攻击者可通过该漏洞获取数据库连接池中的session敏感数据和数据库信息的敏感数据。
修复方法
1.设置登录口令
2.禁止对外开放
漏洞82:LDAP未授权访问
漏洞描述
LDAP:LightDirectoryAccessPortocol,它是基于X.500标准的轻量级目录访问协议。默认端口是389,漏洞产生的原因是因为默认配置不当。
漏洞影响
攻击者可以使用ldapbrowser直接连接,获取目录内容。
修复方式
1.删除匿名访问控制指令
2.修改匿名访问控制指令(修改anyone为all)
3.使用userdn关键字定义用户访问
4.设置密码
漏洞83:Swagger未授权访问
漏洞描述
Swagger是一个规范且完整的框架,用于生成、描述、调用和可视化RESTful风格的Web服务。可利用未授权访问漏洞,直接访问以下链接:
/swagger-ui.html
/swagger/swagger-ui.html
/api/swagger-ui.html
/v1.x/swagger-ui.html
/swagger/index.html
swagger-ui.html#/api-memory-controller
/swagger/ui/
swagger-ui
漏洞影响
攻击可以通过未授权访问到所有swagger接口。
修复方法
设置访问权限
漏洞84:Kibana未授权访问
漏洞描述
Kibana与Elasticsearch的交互方式是各种不同的图表、表格、地图等,直观的展示数据,从而达到高级的数据分析与可视化的目的。默认端口是5601。
漏洞影响
Kibana存在未授权访问漏洞,攻击者通过访问URL,无需登录即可登录获取信息。拥有Kibana的Timelion模块访问权限的人可以以Kibana的运行权限执行任意代码,包括反弹shell。
修复方法
禁止对外开放,修改默认端口,设置账号密码
漏洞85:NFS未授权访问
漏洞描述
NetworkFileSystem(NFS),网络文件系统,是由SUN公司研制的UNIX表示层协议(presentationlayerprotocol),能使使用者访问网络上别处的文件就像在使用自己的计算机一样。nfs最初只支持UDP协议,在新版本中支持TCP和UDP协议,默认监听端口为2049。
漏洞影响
攻击者可以通过该漏洞直接访问到NFS服务器内容。
修复方法
设置/etc/exports,对访问进行控制
如:/exportx.x.x.x(rw,async,no_root_squash)
漏洞86:ActiveMQ未授权访问漏洞
漏洞描述
ActiveMQ是Apache下的开源项目,是一种在分布式系统中应用程序借以传递消息的媒介,ActiveMQ默认监听在8161端口。
漏洞影响
攻击者可以通过该漏洞上传webshell,控制整个服务器。
修复方法
针对未授权访问,可修改conf/jetty.xml文件,beanid为securityConstraint下的authenticate修改值为true,重启服务即可
针对弱口令,可修改conf/jetty.xml文件,beanid为securityLoginService下的conf值获取用户properties,修改用户名密码,重启服务即可
漏洞87:KubernetesApiServer未授权访问漏洞
漏洞描述
Kubernetes的服务在正常启动后会开启两个端口:LocalhostPort(默认8080)、SecurePort(默认6443)。这两个端口都是提供ApiServer服务的,一个可以直接通过Web访问,另一个可以通过kubectl客户端进行调用。如果运维人员没有合理的配置验证和权限,那么攻击者就可以通过这两个接口去获取容器的权限。
直接访问http://<target_IP>:8080/或者http://<target_IP>:8080/ui
漏洞影响
攻击者就可以通过接口去获取容器的权限,甚至通过创建自定义的容器去获取宿主机的权限。
修复方法
1.添加认证
2.设置防火墙策略
漏洞88:RabbitMQ未授权访问漏洞
漏洞描述
RabbitMQ是目前非常热门的一款消息中间件,基于AMQP协议的,可以在发布者和使用者之间交换异步消息。消息可以是人类可读的JSON,简单字符串或可以转换为JSON字符串的值列表。
默认账号密码guest/guest。
漏洞影响
攻击者通过默认口令可以直接登录RabbitMQ后台操作数据。
修复方法
1.修改为强密码,删除默认的账号guest
2.禁止对外网开放,仅限于内部访问
漏洞89:SpringBoot应用监控Actuator未授权
漏洞描述
Actuator是SpringBoot提供的对应用系统的监控和管理的集成功能,可以查看应用配置的详细信息,例如自动化配置信息、创建的Springbeans信息、系统环境变量的配置信以及Web请求的详细信息等。如果使用不当或者一些不经意的疏忽,可能造成信息泄露等严重的安全隐患。
漏洞影响
攻击者可以通过该漏洞获取数据库账号密码,或者中泄露heapdump。
修复方法
1.升级到Springbootactuator2.0
2.禁止对外开放
3.禁用/env接口
漏洞90:Dubbo未授权访问漏洞
漏洞描述
dubbo因配置不当导致未授权访问漏洞。
漏洞影响
攻击者可以通过该漏洞执行系统命令。
修复建议
1.配置Dubbo认证
2.设置防火墙策略
漏洞91:Zabbix未授权访问漏洞
漏洞描述
zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。zabbix能监视各种网络参数,保证服务器系统的安全运营;并提供灵活的通知机制以让系统管理员快速定位/解决存在的各种问题。
漏洞影响
攻击者通过弱口令登录该系统,可以在Administration->Scripts中可以执行系统命令。
修复建议
1.启用白名单。
漏洞92:启用不安全tls1.0
漏洞危害:攻击者可能能够利用此问题进行中间人攻击,并对受影响的服务和客户端之间的通信进行解密。
漏洞修复:修改配置信息,删除TLSv1.0.
漏洞92:ueditor编辑器任意上传
漏洞描述:ueditor编辑器asp.net小于等于1.4.3版本存在任意文件上传绕过文件格式的限制,在获取远程资源的时候并没有对远程文件的格式进行严格的过滤与判断
漏洞危害:攻击者可以上传任意文件包括脚本执行文件,包括aspx脚本木马,asp脚本木马,还可以利用该UEditor漏洞对服务器进行攻击,执行系统命名破坏服务器
漏洞修复:
漏洞93:CORS漏洞。
1.请求头存在origin参数且可控(不存在可自行添加不影响结果)
2.修改origin的参数值为我们存在恶意代码的域名,比如以
baidu.com为例查看响应头中的Access-Control-Allow-Origin参数值是否是我们请求头中修改的origin值。
漏洞危害
1、敏感信息泄露
2、访问内网敏感资源
3、恶意跨域请求,如果多个域同时请求,那么这些恶意请求就可以形成应用层面的DDOS攻击。
修复建议
1、如果没有必要就不要开启CORS
2、严格校验Origin头
3、不要配置Access-Control-Allow-Origin:null
4、HTTPS网站不要信任HTTP域
5、不要信任全部自身子域,减少攻击面
6、严格限制域白名单,不要配置Origin:*和Credentials:true
漏洞94:SQL注入
漏洞描述
Web程序中对于用户提交的参数未做过滤直接拼接到SQL语句中执行,导致参数中的特殊字符破坏了SQL语句原有逻辑,攻击者可以利用该漏洞执行任意SQL语句,如查询数据、下载数据、写入webshell、执行系统命令以及绕过登录限制等。
修复建议
代码层最佳防御sql漏洞方案:使用预编译sql语句查询和绑定变量。
(1)使用预编译语句,使用PDO需要注意不要将变量直接拼接到PDO语句中。所有的查询语句都使用数据库提供的参数化查询接口,参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口,使用此接口可以非常有效的防止SQL注入攻击。
(2)对进入数据库的特殊字符(’”<>&*;等)进行转义处理,或编码转换。
(3)确认每种数据的类型,比如数字型的数据就必须是数字,数据库中的存储字段必须对应为int型。
(4)数据长度应该严格规定,能在一定程度上防止比较长的SQL注入语句无法正确执行。
(5)网站每个数据层的编码统一,建议全部使用UTF-8编码,上下层编码不一致有可能导致一些过滤模型被绕过。
(6)严格限制网站用户的数据库的操作权限,给此用户提供仅仅能够满足其工作的权限,从而最大限度的减少注入攻击对数据库的危害。
(7)避免网站显示SQL错误信息,比如类型错误、字段不匹配等,防止攻击者利用这些错误信息进行一些判断。
(8)过滤危险字符,例如:采用正则表达式匹配union、sleep、and、select、load_file等关键字,如果匹配到则终止运行。
漏洞95:Swagger-ui未授权访问
通过翻查文档,得到api接口,点击parameters,即可得到该api接口的详细参数。直接构造参数发包,通过回显可以得到大量的用户信息
1、网站所有功能均暴露在攻击者面前,攻击者可以跟开发者一样对网站各个功能进行安全漏洞测试。
修复建议
1、对于暴露的接口进行删除或者使用认证访问机制。
漏洞96:Druid未授权
单纯是未授权访问,可以给个低危,但是利用泄露的session进行url爆破,就能从低危转向高危。泄露的session尝试构造绕过登录后台并未成功进入后台(此处可能seesion过期或指定路径不正确)
泄露网站路径,管理后台session,数据库连接信息等,甚至利用管理员的session直接管理所有模块。
1、直接将(DruidStatView)配置删掉或者注释掉;添加用户密码管理,使访问该页面需要输入用户名密码
漏洞97:jQuery脆弱版本
在大于或等于1.2且在3.5.0之前的jQuery版本中,即使执行了消毒(sanitize)处理,也仍会执行将来自不受信任来源的HTML传递给jQuery的DOM操作方法(即html()、.append()等),从而导致xss漏洞。
1、更新jQuery到3.5.0或更高版本
2、临时隐藏jQuery版本
3、使用XSS清理工具清理用户输入的HTML。
漏洞98:XSS
漏洞描述
1、Web程序代码中对用户提交的参数未做过滤或过滤不严,导致参数中的特殊字符破坏了HTML页面的原有逻辑,攻击者可以利用该漏洞执行恶意HTML/JS代码、构造蠕虫、篡改页面实施钓鱼攻击、以及诱导用户再次登录,然后获取其登录凭证等。
2、XSS攻击对Web服务器本身虽无直接危害,但是它借助网站进行传播,对网站用户进行攻击,窃取网站用户账号身份信息等,从而也会对网站产生较严重的威胁。
XSS攻击可导致以下危害:
1、钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者通过注入钓鱼JavaScript脚本以监控目标网站的表单输入,甚至攻击者基于DHTML技术发起更高级的钓鱼攻击。
2、网站挂马:跨站时,攻击者利用Iframe标签嵌入隐藏的恶意网站,将被攻击者定向到恶意网站上、或弹出恶意网站窗口等方式,进行挂马。
3、身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS攻击可以盗取用户的cookie,从而利用该cookie盗取用户对该网站的操作权限。
4、盗取网站用户信息:当窃取到用户cookie从而获取到用户身份时,攻击者可以盗取到用户对网站的操作权限,从而查看用户隐私信息。
5、垃圾信息发送:在社交网站社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。
6、劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,从而监视用户的浏览历史、发送与接收的数据等等。
7、XSS蠕虫:借助XSS蠕虫病毒还可以用来打广告、刷流量、挂马、恶作剧、破坏数据、实施DDoS攻击等。
修复建议
xss漏洞本质上是一种html注入,也就是将html代码注入到网页中。那么其防御的根本就是在将用户提交的代码显示到页面上时做好一系列的过滤与转义
1、过滤输入的数据,对例如:“‘”,““”,”<“,”>“,”on*“,script、iframe等危险字符进行严格的检查。这里的输入不仅仅是用户可以直接交互的输入接口,也包括HTTP请求中的Cookie中的变量,HTTP请求头部中的变量等。
2、不仅验证数据的类型,还要验证其格式、长度、范围和内容。
3、不仅在客户端做数据的验证与过滤,关键的过滤步骤在服务端进行。
4、对输出到页面的数据进行相应的编码转换,如HTML实体编码、JS编码等。对输出的数据也要检查,数据库里的值有可能会在一个大网站的多处都有输出,即使在输入做了编码等操作,在各处的输出点时也要进行检查。
漏洞99:CSRF
漏洞描述:
CSRF是跨站请求伪造,不攻击网站服务器,而是冒充用户在站内的正常操作。通常由于服务端没有对请求头做严格过滤引起的。CSRF会造成密码重置,用户伪造等问题,可能引发严重后果。绝大多数网站是通过cookie等方式辨识用户身份,再予以授权的。所以要伪造用户的正常操作,最好的方法是通过XSS或链接欺骗等途径,让用户在本机(即拥有身份cookie的浏览器端)发起用户所不知道的请求。CSRF攻击会令用户在不知情的情况下攻击自己已经登录的系统。
修复建议
1、验证请求的Referer是否来自本网站,但可被绕过。
2、在请求中加入不可伪造的token,并在服务端验证token是否一致或正确,不正确则丢弃拒绝服务。
漏洞100:SSRF
漏洞描述
SSRF(Server-SideRequestForgery,服务器端请求伪造):通俗的来说就是我们可以伪造服务器端发起的请求,从而获取客户端所不能得到的数据。SSRF漏洞形成的原因主要是服务器端所提供的接口中包含了所要请求的内容的URL参数,并且未对客户端所传输过来的URL参数进行过滤。这个漏洞造成的危害有:
(1)、可以对外网、服务器所在内网、本地进行端口扫描,获取一些服务的banner信息;
(2)、攻击运行在内网或本地的应用程序(比如溢出);
(3)、对内网Web应用进行指纹识别,通过访问默认文件实现;
(4)、攻击内外网的Web应用,主要是使用Get参数就可以实现的攻击(比如Struts2漏洞利用,SQL注入等);
(5)、利用File协议读取本地文件。
修复建议
1、禁用不需要的协议,只允许HTTP和HTTPS请求,可以防止类似于file://,gopher://,ftp://等引起的问题。
2、白名单的方式限制访问的目标地址,禁止对内网发起请求
3、过滤或屏蔽请求返回的详细信息,验证远程服务器对请求的响应是比较容易的方法。如果web应用是去获取某一种类型的文件。那么在把返回结果展示给用户之前先验证返回的信息是否符合标准。
4、验证请求的文件格式
5、禁止跳转
6、限制请求的端口为http常用的端口,比如80、443、8080、8000等
7、统一错误信息,避免用户可以根据错误信息来判断远端服务器的端口状态。
漏洞101:任意命令/代码执行
漏洞描述
命令或代码执行漏洞是指代码未对用户可控参数做过滤,导致直接带入执行命令和代码,通过漏洞执行恶意构造的语句,执行任意命令或代码。攻击者可在服务器上执行任意命令,读写文件操作等,危害巨大。
修复建议
1、严格过滤用户输入的数据,禁止执行非预期系统命令。
2、减少或不使用代码或命令执行函数
3、客户端提交的变量在放入函数前进行检测
4、减少或不使用危险函数
漏洞102:任意文件上传
漏洞描述
文件上传漏洞通常由于代码中对文件上传功能所上传的文件过滤不严或web服务器相关解析漏洞未修复而造成的,如果文件上传功能代码没有严格限制和验证用户上传的文件后缀、类型等,攻击者可通过文件上传点上传任意文件,包括网站后门文件(webshell)控制整个网站。
修复建议
1、对上传文件类型进行验证,除在前端验证外在后端依然要做验证,后端可以进行扩展名检测,重命名文件,MIME类型检测以及限制上传文件的大小等限制来防御,或是将上传的文件其他文件存储服务器中。
2、严格限制和校验上传的文件,禁止上传恶意代码的文件。同时限制相关上传文件目录的执行权限,防止木马执行。
3、对上传文件格式进行严格校验,防止上传恶意脚本文件;
4、严格限制上传的文件路径。
5、文件扩展名服务端白名单校验。
6、文件内容服务端校验。
7、上传文件重命名。
8、隐藏上传文件路径。
漏洞103:目录穿越/目录遍历
漏洞描述
目录穿越漏洞WEB-INF/web.xml泄露的起因就是我们在使用网络架构的时候,对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题,导致web.xml等文件能够被读取。
jsp引擎默认都是禁止访问WEB-INF目录的,Nginx配合Tomcat做均衡负载或集群等情况时,Nginx不会去考虑配置其他类型引擎(Nginx不是jsp引擎)导致的安全问题而引入到自身的安全规范中来。修改Nginx配置文件禁止访问WEB-INF目录:location~^/WEB-INF/*{denyall;}或者return404!
IBM官方已经发布更新修复了该漏洞,尽快采取修补措施。
文件下载或获取文件显示内容页面由于未对传入的文件名进行过滤,利用路径回溯符../跳出程序本身的限制目录,来下载或显示任意文件。
修复建议
对传入的文件名参数进行过滤,并且判断是否是允许获取的文件类型,过滤回溯符../。
漏洞104:文件包含
漏洞描述
本地文件包含是指程序在处理包含文件的时候没有严格控制。利用这个漏洞,攻击者可以先把上传的文件、网站日志文件等作为代码执行或直接显示出来,或者包含远程服务器上的恶意文件,进而获取到服务器权限。
修复建议
1、严格检查变量是否已经初始化。
2、对所有输入提交可能包含的文件地址,包括服务器本地文件及远程文件,进行严格的检查,参数中不允许出现./和../等目录跳转符。
3、严格检查文件包含函数中的参数是否外界可控。
漏洞105:文件读取
攻击者可利用该漏洞读取目标服务器任意敏感文件.
防御策略:
1、对用户输入的参数进行校验;
2、限定用户访问的文件范围;
3、使用白名单;
4、过滤…/,防止用户进行目录遍历。
5、文件映射,存储和应用分离。
漏洞106:网站弱口令
漏洞描述
由于网站用户帐号存在弱口令,导致攻击者通过弱口令可轻松登录到网站中,从而进行下一步的攻击,如上传webshell,获取敏感数据。另外攻击者利用弱口令登录网站管理后台,可执行任意管理员的操作。
修复建议
1、强制用户首次登录时修改默认口令,或是使用用户自定义初始密码的策略;
2、完善密码策略,信息安全最佳实践的密码策略为8位(包括)以上字符,包含数字、大小写字母、特殊字符中的至少3种。
3、增加人机验证机制,限制ip访问次数。
漏洞107:暴力破解
漏洞描述
由于没有对登录页面进行相关的人机验证机制,如无验证码、有验证码但可重复利用以及无登录错误次数限制等,导致攻击者可通过暴力破解获取用户登录账号和密码。
修复建议
1、如果用户登录次数超过设置的阈值,则锁定帐号(有恶意登录锁定帐号的风险)
2、如果某个IP登录次数超过设置的阈值,则锁定IP
3、增加人机验证机制
4、验证码必须在服务器端进行校验,客户端的一切校验都是不安全的。
漏洞108:越权访问
漏洞描述
由于没有对用户访问角色的权限进行严格的检查及限制,导致当前账号可对其他账号进行相关操作,如查看、修改等。对低权限对高权限账户的操作为纵向越权,相同权限账户之间的操作成为横向越权也称水平越权。
修复建议
1、对用户访问角色的权限进行严格的检查及限制。
2、在一些操作时可以使用session对用户的身份进行判断和控制
漏洞109:RocketMQ可视化管理控制台未授权访问
RecketMQ可视化控制台可以直接登录
1、增加加密文件plain_acl.yml,放置在conf目录下
globalWhiteRemoteAddresses:
#-127.0.0.1
accounts:
-accessKey:RocketMQ
secretKey:12345678
whiteRemoteAddress:
admin:false
defaultTopicPerm:DENY
defaultGroupPerm:SUB
topicPerms:
-topicA=DENY
-topicB=PUB|SUB
-topicC=SUB
groupPerms:
#thegroupshouldconverttoretrytopic
-groupA=DENY
-groupB=PUB|SUB
-groupC=SUB
-accessKey:rocketmq2
secretKey:yuanian_ecs_mq
whiteRemoteAddress:
#ifitisadmin,itcouldaccessallresources
admin:true
defaultTopicPerm:SUB|PUB
defaultGroupPerm:SUB|PUB
2、修改broker.conf文件增加
#该项配置是开启acl安全认证配置,开启后,需要注意rocketmq_console与项目服务的配置,否则会导致MQ访问鉴权失败,默认不开启。
aclEnable=true
3、修改docker-compose文件
根据下图修改增加两行配置
#broker添加如下
-./conf/plain_acl.yml:/opt/conf/plain_acl.yml
#console添加如下
MQ_CAL_OPT:--rocketmq.config.loginRequired=false--rocketmq.config.loginName=loginName--rocketmq.config.password=password--rocketmq.config.accessKey=rocketmq2--rocketmq.config.secretKey=yuanian_ecs_mq
4、需要在应用的application-xxx.yml中增加配置
根据预算项目的情况需要修改console、mr、mdd下的yml文件:
#是否启用安全链接,和accessKey、secretKey配套使用,根据MQ部署情况配置accessKey用户名secretKey密码
aclEnable:false
accessKey:
secretKey:
示例如下:
调整配置后,重启服务.
漏洞110:ApacheSSRF漏洞
1、可以访问到服务器内部一些不对外开放的http端口及uds文件,
2、可以通过制作请求来利用此漏洞url路径,这导致mod_proxy将请求转发到攻击者选择的源服务器。
当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本.链接如下:
https://httpd.apache.org/download.cgi
漏洞112:Actuator未授权
Actuator是SpringBoot提供的服务监控和管理中间件,默认配置会出现接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
漏洞危害
通过接口未授权访问,部分接口会泄露网站流量信息和内存信息等,使用Jolokia库特性甚至可以远程执行任意代码,获取服务器权限。
1、利用env加refresh进行getshell。
2、利用mappings,寻找未授权接口。
3、利用trace,获取认证信息(Cookie、tooken、Session),利用认证信息访问接口。
4、env有可能泄露的数据库账号密码。
5、未知利用执行sql语句。
修复建议
1、禁用所有接口,将配置改成:endpoints.enabled=false
2、或者引入spring-boot-starter-security依赖:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
3、开启security功能,配置访问权限验证,类似配置如下:
management.port=8099
management.security.enabled=true
security.user.name=xxxxx
security.user.password=xxxxxx
例如,我们可以访问:
http://localhost:7200/actuator/env
看到上面的信息了吗?哇,我们居然能看到数据库连接地址,账号密码等信息。
这些地址如果不加以控制,对于一些有技术基础的人员来说,这不得是一个很严重的漏洞?估计是t0级别的漏洞了。
对于这些,我们要如何进行控制呢?
4.禁止方法:在llsydn-dev.properties增加配置如下management.endpoints.web.exposure.exclude=env,heapdump,threaddump,mappings
5.完全禁用Actuator:management.server.port=-1
漏洞113:SpringBootActuator配置接口对外开放
现象:浏览器可以直接打开:http://ip:port/console/actuator/env会直接暴露信息,
修复方式:
修改对应服务的yml配置文件:
include:"*"改为include:health,prometheus
修改前的配置如下:
management:
health:
redis:
enabled:true
endpoints:
web:
exposure:
include:"*"
endpoint:
health:
show-details:ALWAYS
修改后如下:
management:
health:
redis:
enabled:true
endpoints:
web:
exposure:
include:health,prometheus
endpoint:
health:
show-details:ALWAYS
修改后,重启服务.
漏洞114:Laraveldebug模式
检测发现开启了Laraveldebug模式,导致网站信息泄露。
漏洞危害
影响程度:中危
修复建议
关闭Laraveldebug模式
1、修改.env文件:APP_DEBUG=false
2、然后把Laravel服务重启。
漏洞115:未授权访问
漏洞描述
由于没有对网站敏感页面进行登录状态、访问权限的检查,
修复建议
1、页面进行严格的访问权限的控制以及对访问角色进行权限检查。
2、可以使用session对用户的身份进行判断和控制。
漏洞116:列目录
漏洞描述
由于web服务器配置不当,开启了目录浏览,攻击者可获得服务器上的文件目录结构,获取敏感文件。
修复建议
1、通过修改配置文件,禁止中间件(如IIS、apache、tomcat)的文件目录索引功能。
2、设置目录访问权限。
漏洞117:PHP反序列化
漏洞描述
php反序列化漏洞也叫PHP对象注入,形成原因为程序未对用户输入的序列化字符串进行检测,导致攻击者可以控制反序列化过程,从而导致代码执行、文件操作、执行数据库操作等不可控后果。这一类攻击在java、python等面向对象语言中均存在。
可参考:https://www.freebuf.com/articles/web/167721.html
修复建议
1、对传入的对象进行严格的过滤检查
2、在反序列化过程执行的文件读写、命令或代码执行函数中是否有用户可控的参数。
漏洞118:httpslow拒绝服务攻击
漏洞描述
按照设计,HTTP协议要求服务器在处理之前完全接收请求。如果HTTP请求没有完成,或者传输速率非常低,服务器会保持其资源忙于等待其余数据。如果服务器保持太多的资源请求和处理,这将造成一个拒绝服务。严重者一台主机即可让web运行缓慢甚至是崩溃。
修复建议
对于Apache可以做以下优化(其他服务器原理相同):
1、设置合适的timeout时间(Apache已默认启用了reqtimeout模块),规定了Header发送的时间以及频率和Body发送的时间以及频率
2、增大MaxClients(MaxRequestWorkers):增加最大的连接数。根据官方文档,两个参数是一回事,版本不同,MaxRequestWorkerswascalledMaxClientsbeforeversion2.3.13.Theoldnameisstillsupported.
3、默认安装的Apache存在SlowAttack的威胁,原因就是虽然设置的timeoute,但是最大连接数不够,如果攻击的请求频率足够大,仍然会占满Apache的所有连接
漏洞119:CRLF注入
漏洞描述
CRLF是“回车+换行”(\r\n)的简称。在HTTP协议中,HTTPHeader与HTTPBody是用两个CRLF符号进行分隔的,浏览器根据这两个CRLF符号来获取HTTP内容并显示。因此,一旦攻击者能够控制HTTP消息头中的字符,注入一些恶意的换行,就能注入一些会话Cookie或者HTML代码。
修复建议
1、过滤\r、\n及其各种编码的换行符,避免输入的数据污染到其他HTTP消息头。
漏洞120:LDAP注入
漏洞描述
由于Web应用程序没有对用户发送的数据进行适当过滤和检查,攻击者可修改LDAP语句的结构,并且以数据库服务器、Web服务器等的权限执行任意命令,许可权可能会允许查询、修改或除去LDAP树状构造内任何数据。
修复建议
对用户的输入内容进行严格的过滤。
漏洞121:URL跳转
漏洞描述
有的Web应用程序中使用URL参数中的地址作为跳转链接的功能,攻击者可实施钓鱼、恶意网站跳转等攻击。
修复建议
1、在进行页面跳转前校验传入的URL是否为可信域名。
2、白名单规定跳转链接
漏洞123:明文传输
漏洞描述
用户登录过程中使用明文传输用户登录信息,若用户遭受中间人攻击时,攻击者可直接获取该用户登录账户,从而进行进一步渗透。
修复建议
1、用户登录信息使用加密传输,如密码在传输前使用安全的算法加密后传输,可采用的算法包括:不可逆hash算法加盐(4位及以上随机数,由服务器端产生);安全对称加密算法,如AES(128、192、256位),且必须保证客户端密钥安全,不可被破解或读出;非对称加密算法,如RSA(不低于1024位)、SM2等。
2、使用https来保证传输的安全。
漏洞124:网页木马
漏洞描述
经渗透测试发现目标站点存在webshell,攻击者可直接爆破口令使用木马,非常低成本的进行恶意操作。
修复建议
1、确认并删除木马文件,并进行本地文件漏洞扫描排查是否还存在有其他木马。
2、发现并及时修复已存在的漏洞。
3、通过查看日志、服务器杀毒等安全排查,确保服务器未被留下后门
漏洞125:备份文件泄露
漏洞描述
网站备份文件或、敏感信息文件存放在某个网站目录下,攻击者可通过文件扫描等方法发现并下载该备份文件,导致网站敏感信息泄露。
修复建议
1、不在网站目录下存放网站备份文件或敏感信息的文件。
2、如需存放该类文件,请将文件名命名为难以猜解的无规则字符串。
漏洞126:敏感信息泄露
漏洞描述
在页面中或者返回的响应包中泄露了敏感信息,通过这些信息,给攻击者渗透提供了非常多的有用信息。
修复建议
1、如果是探针或测试页面等无用的程序建议删除,或者修改成难以猜解的名字。
2、不影响业务或功能的情况下删除或禁止访问泄露敏感信息页面。
3、在服务器端对相关敏感信息进行模糊化处理。
4、对服务器端返回的数据进行严格的检查,满足查询数据与页面显示数据一致。
漏洞127:Git信息泄露
1、对.git目录的访问权限进行控制。
2、在每次pull之后删除.git文件夹。
漏洞128:https.sys
使用burpsuite抓包,发送到repeater中,在HTTP请求头中加入如下字段
Range:bytes=18-18446744073709551615,返回416状态码
利用HTTP.sys的安全漏洞,攻击者只需要发送恶意的http请求数据包,就可能远程读取IIS服务器的内存数据,或使服务器系统蓝屏崩溃。
官方补丁下载:https://support.microsoft.com/zh-cn/kb/3042553
临时解决办法:*禁用IIS内核缓存
漏洞129:短信/邮件轰炸
漏洞描述
由于没有对短信或者邮件发送次数进行限制,导致可无限次发送短信或邮件给用户,从而造成短信轰炸,进而可能被大量用户投诉,从而影响公司声誉。
修复建议
在服务器限制发送短信或邮件的频率,如同一账号1分钟只能发送1次短信或邮件,一天只能发送3次。
漏洞130:phpinfo信息泄漏
漏洞描述
Web站点的某些测试页面可能会使用到PHP的phpinfo()函数,会输出服务器的关键信息,造成服务器信息泄露,为攻击提供有利的信息。
修复建议
1、删除phpinfo函数。
2、若文件无用可直接删除。
漏洞131:IIS短文件名泄露漏洞
漏洞描述
InternetInformationServices(IIS,互联网信息服务)是由微软公司提供的基于运行MicrosoftWindows的互联网基本服务。MicrosoftIIS在实现上存在文件枚举漏洞,攻击者可利用此漏洞枚举网络服务器根目录中的文件。危害:攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.NetFramework进行拒绝服务攻击。
攻击者可通过该漏洞尝试获取网站服务器文件的文件名,达到获取更多信息来入侵服务器的目的。
修复建议
修改Windows配置,关闭短文件名功能。
1.关闭NTFS8.3文件格式的支持。该功能默认是开启的,对于大多数用户来说无需开启。
2.如果是虚拟主机空间用户,可采用以下修复方案:
1)修改注册列表HKLM\SYSTEM\CurrentControlSet\Control\FileSystem\NtfsDisable8dot3NameCreation的值为1(此修改只能禁止NTFS8.3格式文件名创建,已经存在的文件的短文件名无法移除)。
2)如果你的web环境不需要asp.net的支持你可以进入Internet信息服务(IIS)管理器---Web服务扩展-ASP.NET选择禁止此功能。
3)升级netframework至4.0以上版本。
3.将web文件夹的内容拷贝到另一个位置,比如D:\www到D:\www.back,然后删除原文件夹D:\www,再重命名D:\www.back到D:\www。如果不重新复制,已经存在的短文件名则是不会消失的。
漏洞132:应用程序错误信息泄露
漏洞描述
攻击者可通过特殊的攻击向量,使web服务器出现500、403等相关错误,导致信息泄漏如绝对路径、webserver版本、源代码、sql语句等敏感信息,恶意攻击者很有可能利用这些信息实施进一步的攻击。
修复建议
1、自定义错误页面或使用统一的错误页面提示。
漏洞133:ApacheTomcat默认文件
漏洞描述
ApacheTomcat默认样例文件没有删除或限制访问,可能存在cookie、session伪造,进行后台登录操作
修复建议
1、删除样例文件
2、限制文件访问权限
漏洞134:Crossdomain.xml配置不当
漏洞描述
网站根目录下的crossdomain.xml文件指明了远程Flash是否可以加载当前网站的资源(图片、网页内容、Flash等)。如果配置不当,可能导致遭受跨站请求伪造(CSRF)攻击。
修复建议
对于不需要从外部加载资源的网站,在crossdomain.xml文件中更改allow-access-from的domain属性为域名白名单。
漏洞135:目标服务器启用了不安全HTTP方法
漏洞描述
目标服务器启用了不安全的传输方法,如PUT、TRACE、DELETE、MOVE等,这些方法表示可能在服务器上使用了WebDAV,由于dav方法允许客户端操纵服务器上的文件,如上传、修改、删除相关文件等危险操作,如果没有合理配置dav,有可能允许未授权的用户对其进行利用,修改服务器上的文件。
修复建议
1、关闭不安全的传输方法,只开启POST、GET方法。
2、如果服务器不使用WebDAV可直接禁用,或为允许webdav的目录配置严格的访问权限,如认证方法,认证需要的用户名,密码。
漏洞136:weblogicSSRF服务器请求伪造
漏洞描述
目标存在weblogicSSRF服务器请求伪造漏洞。WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。SSRF(Server-SideRequestForgery:服务器端请求伪造)是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下,SSRF攻击的目标是从外网无法访问的内部系统。(正是因为它是由服务端发起的,所以它能够请求到与它相连而与外网隔离的内部系统)。Weblogic中间件默认带有“UDDI目录浏览器”且为未授权访问,通过该应用,可进行无回显的SSRF请求。攻击者可利用该漏洞对企业内网进行大规模扫描,了解内网结构,并可能结合内网漏洞直接获取服务器权限。
修复建议
1、若不影响业务则可删除uddiexplorer文件夹
2、限制uddiexplorer应用只能内网访问
漏洞137:ApacheStruts2远程代码执行漏洞(S2-019)
漏洞描述
ApacheStruts2的“DynamicMethodInvocation”机制是默认开启的,仅提醒用户如果可能的情况下关闭此机制,如果未关闭此机制将导致远程代码执行漏洞,远程攻击者可利用此漏洞在受影响应用上下文中执行任意代码。
修复建议
1、目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载。
2、或者手工设置struts.xml文件<constantname="struts.enable.DynamicMethodInvocation"value="false"/>
漏洞138:ApacheStruts2远程代码执行漏洞(S2-037)
漏洞描述
ApacheStruts2在使用REST插件时,攻击者可以绕过动态方法执行的限制,调用恶意表达式执行远程代码。
修复建议
建议用户到官方获取最新补丁或者最新版本程序。
漏洞139:ApacheStruts2DevMode远程代码执行漏洞
漏洞描述
为了便于开发人员调试程序,Struts2提供了一个devMode模式,可以方便查看程序错误以及日志等信息。当Struts2中的devMode模式设置为true时,存在严重远程代码执行漏洞。如果WebService启动权限为最高权限时,可远程执行任意命令,包括关机、建立新用户、以及删除服务器上所有文件等等。
修复建议
建议用户到官方获取最新补丁或者最新版本程序。
或者将struts.properties中的devMode设置为false,或是在struts.xml中添加如下代码:<constantname="struts.devMode"value="false"/>。
35.ApacheStruts2远程代码执行漏洞(S2-045)
漏洞描述
ApacheStruts2的JakartaMultipartparser插件存在远程代码执行漏洞,漏洞编号为CVE-2017-5638。攻击者可以在使用该插件上传文件时,修改HTTP请求头中的Content-Type值来触发该漏洞,导致远程执行代码。
修复建议
检测方式查看web目录下/WEB-INF/lib/目录下的struts-core.x.x.jar,如果这个版本在Struts2.3.5到Struts2.3.31以及Struts2.5到Struts2.5.10之间则存在漏洞。
1、建议用户到官方获取最新补丁或者最新版本程序。
2、更新至Strusts2.3.32或者Strusts2.5.10.1,或使用第三方的防护设备进行防护。
3、临时解决方案:删除commons-fileupload-x.x.x.jar文件(会造成上传功能不可用)。
4、修改WEB-INF/classes目录下的配置
在WEB-INF/classes目录下的struts.xml中的struts标签下添加
<constantname=”struts.custom.i18n.resources”value=”global”/>;
在WEB-INF/classes/目录下添加global.properties,文件内容如下:
struts.messages.upload.error.InvalidContentTypeException=1
漏洞140:ApacheStruts2远程代码执行漏洞(S2-033)
漏洞描述
ApacheStruts2在开启动态方法调用(DynamicMethodInvocation)的情况下,攻击者使用REST插件调用恶意表达式可以远程执行代码。
修复建议
1、用户到官方获取最新补丁或者最新版本程序。
2、或者在允许的情况下禁用动态方法调用(DynamicMethodInvocation),修改Struts2的配置文件struts.xml,将struts.enable.DynamicMethodInvocation设置为“false”。
漏洞141:redis未授权
漏洞描述
redis弱口令口令可能会造成未授权访问造成信息泄露,若redis为高权限账户运行,可能导致服务器权限丢失等
安全建议
漏洞危害
redis未授权访问造成信息泄露,若redis为高权限账户运行,可能导致服务器权限丢失等
修复建议
1.禁用一些高危命令:常见如:flushdb,flushall,config,keys等
2.以低权限运行Redis服务
3.为Redis添加密码验证
4.禁止外网访问Redis
5.保证authorized_keys文件的安全
漏洞142:Kibana未授权
攻击者通过访问URL,无需登录即可登录获取信息。
1、升级Kibana到最新版本,升级地址如下
2、https://www.elastic.co/cn/downloads/kibana
在kibana所在的服务器上安装nginx服务,利用nginx的转发指令实现,需要输入账号密码才可以访问页面。
3、如果正常业务中kibana服务需要被其他服务器来访问,可以通过iptables策略,仅允许指定的IP来访问服务.
漏洞143:Log4j
由于ApacheLog4j2某些功能存在递归解析,攻&击者可在未经身份验证的情况下构造发送带有攻&击语句的数据请求包,最终造成在目标服务器上执行任意代码,ApacheLog4j2.8.2之前的2.x版本中存在安全漏洞,
。
1、请联系厂商获取修复后的官方版本:
https://github.com/apache/logginglog4j2;
请尽快升级ApacheLog4j2所有相关应用到最新的log4j-2.15.0-rc2版本
,地址:https://github.com/apache/logginglog4j2/
releases/tag/log4j-2.15.0-rc2。
漏洞144:Shiro
攻击者可以使用Shiro的默认密钥伪造用户Cookie,触发Java反序列化漏洞,进而在目标机器上执行任意命令。
1、升级shiro版本
2、修改文件中硬编码的密钥
漏洞145:url重定向
url跳转属于CSRF的一种,我们需要对传入的URL做有效性的认证,
1、referer的限制:如果确定传递URL参数进入的来源,我们可以通过该方式实现安全限制,保证该URL的有效性,避免恶意用户自己生成跳转链接
2、加入有效性验证Token:我们保证所有生成的链接都是来自于我们可信域的,通过在生成的链接里加入用户不可控的Token对生成的链接进行校验,可以避免用户生成自己的恶意链接从而被利用,但是如果功能本身要求比较开放,可能导致有一定的限制。
风险:
借助未验证的URL跳转,可以将应用程序内部敏感的数据传递到不安全的第三方区域
漏洞146:跨域资源共享
(Cross-originresourcesharing),是H5提供的一种机制,WEB应用程序可以通过在HTTP增加字段来告诉浏览器,哪些不同来源的服务器是有权访问本站资源的,当不同域的请求发生时,就出现了跨域的现象。当该配置不当的时候,就导致资源被恶意操作
漏洞147:Mongdb未授权访问
一、MongoDB漏洞成因
1、Mongodb默认没有管理账号;
2、/etc/mongod.conf文件中未启用auth=true或者在启动的时候为天健--auth参数;
3、配置文件中bind_ip默认监听的是0.0.0.0,允许其它主机连接
二、漏洞危害
1、攻击者可以来授权操作数据库;
2、影响数据的安全性、完整性。
三、漏洞修复:
1、在admin数据库中增加用户,设置复杂的密码;
2、配置文件/etc/mongod.conf中,设置auth=true;
3、配置文件/etc/mongod.conf中,设置bind_ip=127.0.0.1
2370
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
