Rumah >Operasi dan penyelenggaraan >Keselamatan >常见的网站安全漏洞解决方法

常见的网站安全漏洞解决方法

王林
王林ke hadapan
2020-12-24 09:09:276894semak imbas

常见的网站安全漏洞解决方法

下面是一些常见的网站安全漏洞及解决方法,我们一起来看下。

(学习视频分享:编程视频

1. Sql盲注

解决方法:添加过滤

4048d9a70d959283006522c78a5aa1c.png

2. Sql注入

解决方法:修改底层代码消除参数化查询

3. iis文件与目录枚举/Directory listing

解决方法:禁止目录浏览

4. webdav目录遍历

解决方法:http://www.45it.com/net/201208/31779.htm

5. _VIEWSTATE未加密

解决方法:在

6. 文件备份漏洞

文件备份不要放在WEB根目录下
如http://.../web.rar,备份文件需放到其他目录

7. HTTP.sys remote code execution vulnerability

漏洞:Microsoft Windows HTTP.sys远程代码执行漏洞(CVE-2015-1635)(MS15-034)
解决方法:安装微软补丁包(http://www.gltc.cn/47506.html)

8. Vulnerable Javascript library

漏洞:脆弱的Javascript库
解决方法:更新Javascript库

9 短文件名漏洞

解决方法: https://segmentfault.com/a/1190000006225568

4ac82c08a727c2455fb22de877e7eae.png

若是无效:使用如下方法:
https://www.cnblogs.com/xiaozi/p/5587039.html
若是iis7但不出现请求筛选,则手工安装
https://yq.aliyun.com/ziliao/120062
在图示位置添加红框行

35fe89ae84d7bbe3d99a404988afe0c.png

注意将原来默认的 AllowDotInPath=0 改为AllowDotInPath =1

f8e54a7b4b1a42957961091cabf37a6.png

否则某些功能列表无法加载。

10. Microsoft IIS重复参数请求拒绝服务漏洞(MS10-065)

IIS中的脚本处理代码在处理重复的参数请求时存在栈溢出漏洞,远程攻击者可以通过对IIS所承载网站的ASP页面发送特制URI请求来利用这个漏洞,导致服务崩溃。

解决方法:http://zerobox.org/bug/2716.html

11. IIS 重复参数请求拒绝服务漏洞 -CVE-2010-1899

7c553531a9c5ffed1db459ae0ae7872.png

08ed17af9b9be21da8fea848f06ed71.png


备注:推测是服务器做了安全防护,即使我们做了安装补丁等操作,修复此漏洞,但学校的安全规则还在,会阻止同名参数或类似同名参数请求,此处是link.axd

42c27cd6c3f2d9fcf3351a67ea0284f.png

被误报,修改为

8252cbd2ac4b8796d91658dab06d9ba.png

请求正常通过。

12. AppScan修复漏洞:启用不安全的HTTP方法

http://www.cnblogs.com/lyuec/p/4245175.html
禁用WebDAV
IIS 在扩展功能中禁用webdev功能,此功能可禁止危险动作如:DELETE- SEARCH- COPY- MOVE- PROPFIND- PROPPATCH- MKCOL- LOCK- UNLOCK- PUT。

13. ASP.NET 信息泄漏

根据服务器版本安装补丁:
https://technet.microsoft.com/zh-cn/library/security/ms10-070.aspx

相关推荐:网站安全教程

Atas ialah kandungan terperinci 常见的网站安全漏洞解决方法. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Kenyataan:
Artikel ini dikembalikan pada:csdn.net. Jika ada pelanggaran, sila hubungi admin@php.cn Padam
Artikel sebelumnya:安全测试常用的几个工具是什么Artikel seterusnya:防火墙是指什么