常見漏洞及其解決方法

漏洞掃描報(bào)告第2頁,共14頁常見漏洞及其解決方案SQL注入漏洞漏洞描述：SQL注入被廣泛用于非法入侵網(wǎng)站服務(wù)器，獲取網(wǎng)站控制權(quán)。它是應(yīng)用層上的一種安全漏洞。通常在設(shè)計(jì)存在缺陷的程序中，對用戶輸入的數(shù)據(jù)沒有做好過濾，導(dǎo)致惡意用戶可以構(gòu)造一些SQL語句讓服務(wù)器去執(zhí)行，從而導(dǎo)致數(shù)據(jù)庫中的數(shù)據(jù)被竊取，篡改，刪除，以及進(jìn)一步導(dǎo)致服務(wù)器被入侵等危害。SQL注入的攻擊方式多種多樣，較常見的一種方式是提前終止原SQL語句，然后追加一個(gè)新的SQL命令。為了使整個(gè)構(gòu)造的字符串符合SQL語句語法，攻擊者常用注釋標(biāo)記如“--”（注意空格）來終止后面的SQL字符串。執(zhí)行時(shí)，此后的文本將被忽略。如某個(gè)網(wǎng)站的登錄驗(yàn)證SQL查詢代碼為strSQL="SELECT*FROMusersWHEREname=‘”+userName+“’andpw=’”+passWord+”’”，其中userName和passWord是用戶輸入的參數(shù)值，用戶可以輸入任何的字符串。如果用戶輸入的userName=admin’--，passWord為空，則整個(gè)SQL語句變?yōu)镾ELECT*FROMusersWHEREname=’admin’--‘a(chǎn)ndpw=’’，等價(jià)于SELECT*FROMusersWHEREname=’admin’，將繞過對密碼的驗(yàn)證，直接獲得以admin的身份登錄系統(tǒng)。漏洞危害：? 數(shù)據(jù)庫信息泄漏，例如個(gè)人機(jī)密數(shù)據(jù)，帳戶數(shù)據(jù)，密碼等。? 刪除硬盤數(shù)據(jù)，破壞整個(gè)系統(tǒng)的運(yùn)行。? 數(shù)據(jù)庫服務(wù)器被攻擊，系統(tǒng)管理員帳戶被竄改（例如ALTERLOGINsaWITHPASSWORD='xxxxxx'）。? 取得系統(tǒng)較高權(quán)限后，可以篡改網(wǎng)頁以及進(jìn)行網(wǎng)站掛馬。? 經(jīng)由數(shù)據(jù)庫服務(wù)器提供的操作系統(tǒng)支持，讓黑客得以修改或控制操作系統(tǒng)，植入后門程序（例如xp_cmdshell"netstopiisadmin"可停止服務(wù)器的IIS服務(wù)）。解決方案：? 輸入過濾，對于整數(shù)，判斷變量是否符合[0-9]的值；其他限定值，也可以進(jìn)行合法性校驗(yàn)；對于字符串，對SQL語句特殊字符進(jìn)行轉(zhuǎn)義(單引號(hào)轉(zhuǎn)成兩個(gè)單引號(hào)，雙引號(hào)轉(zhuǎn)成兩個(gè)雙引號(hào))。MySQL也有類似的轉(zhuǎn)義函數(shù)mysql_escape_string和mysql_real_escape_string。Asp的過濾參考此頁面/nazim/archive/2008/04/28/filtering-sql-injection-from-classic-asp.aspx? 在設(shè)計(jì)應(yīng)用程序時(shí)，完全使用參數(shù)化查詢（ParameterizedQuery）來設(shè)計(jì)數(shù)據(jù)訪問功能。? 使用其他更安全的方式連接SQL數(shù)據(jù)庫。例如已修正過SQL注入問題的數(shù)據(jù)庫連接組件，例如ASP.NET的SqlDataSource對象或是LINQtoSQL，安全API庫如ESAPI。? 使用SQL防注入系統(tǒng)。? 嚴(yán)格限制數(shù)據(jù)庫操作的權(quán)限。普通用戶與系統(tǒng)管理員用戶的權(quán)限要有嚴(yán)格的區(qū)分。建立專門的賬戶，同時(shí)加以權(quán)限限制，滿足應(yīng)用的需求即可。HTTPHOST頭部攻擊漏洞描述：一般通用web程序是如果想知道網(wǎng)站域名不是一件簡單的事情，如果用一個(gè)固定的URI來作為域名會(huì)有各種麻煩。開發(fā)人員一般是依賴HTTPHostheader（比如在php里是_SERVER["HTTP_HOST"]），而這個(gè)header很多情況下是靠不住的。而很多應(yīng)用是直接把這個(gè)值不做html編碼便輸出到了頁面中，比如：<linkhref="http://_SERVER['HOST']"(Joomla)還有的地方還包含有secretkey和token，<ahref="http://_SERVER['HOST']?token=topsecret">(Django,Gallery,others)這樣處理問題一般會(huì)很容易遭遇到兩種常見的攻擊：緩存污染和密碼重置。緩存污染是指攻擊者通過控制一個(gè)緩存系統(tǒng)來將一個(gè)惡意站點(diǎn)的頁面返回給用戶。密碼重置這種攻擊主要是因?yàn)榘l(fā)送給用戶的內(nèi)容是可以污染的，也就是說可以間接的劫持郵件發(fā)送內(nèi)容。參考：/papers/1383管理后臺(tái)漏洞描述：由于http請求的特點(diǎn)，hostheader的值其實(shí)是不可信的。唯一可信的只有SERVER_NAME，這個(gè)在Apache和Nginx里可以通過設(shè)置一個(gè)虛擬機(jī)來記錄所有的非法hostheader。在Nginx里還可以通過指定一個(gè)SERVER_NAME名單，Apache也可以通過指定一個(gè)SERVER_NAME名單并開啟UseCanonicalName選項(xiàng)。建議兩種方法同時(shí)使用。網(wǎng)站后臺(tái)管理系統(tǒng)主要是用于對網(wǎng)站前臺(tái)的信息管理，如文字、圖片、影音、和其他日常使用文件的發(fā)布、更新、刪除等操作，同時(shí)也包括會(huì)員信息、訂單信息、訪客信息的統(tǒng)計(jì)和管理。將管理后臺(tái)暴露在外網(wǎng)，存在一定的安全風(fēng)險(xiǎn)用戶認(rèn)證信息明文傳輸漏洞描述：盡量將管理后臺(tái)放在內(nèi)網(wǎng)。并做好用戶的訪問權(quán)限控制，保證登錄密碼的復(fù)雜性。用戶認(rèn)證信息不是通過https加密信道傳輸，導(dǎo)致用戶名密碼等敏感信息泄露。解決方案:以https方式傳輸此檢測誤報(bào)可能性較大，需要人工驗(yàn)證?？赡艽嬖贑SRF攻擊漏洞描述：CSRF是CrossSiteRequestForgery的縮寫（也縮寫為XSRF），直譯過來就是跨站請求偽造的意思，也就是在用戶會(huì)話下對某個(gè)CGI做一些GET/POST的事情——這些事情用戶未必知道和愿意做，你可以把它想做HTTP會(huì)話劫持。解決方案:在Web應(yīng)用程序側(cè)防御CSRF漏洞，一般都是利用referer、token或者驗(yàn)證碼jQuery是一個(gè)兼容多瀏覽器的javascript庫,經(jīng)探測，被檢測系統(tǒng)使用的jquery版本存在XSS漏洞。詳情請參看：http://ma.la/jquery_xss//2011/09/01/jquery-1-6-3-released/jQueryXSS漏洞描述：jQuery是一個(gè)兼容多瀏覽器的javascript庫,經(jīng)探測，被檢測系統(tǒng)使用3．輸出編碼：一：用戶輸入的參數(shù)值會(huì)展現(xiàn)在HTML正文中或者屬性值中例如：1）html正文中<ahref=''>Un-trustedinput</a>2）屬性值：<inputname="searchword"value="Un-trustedinput">此時(shí)需要將紅色的不可信內(nèi)容中做如下的轉(zhuǎn)碼(即將<>‘“`轉(zhuǎn)成html實(shí)體)：<--><>-->>'-->'"-->"`-->`

(反引號(hào))二：用戶輸入落在<script>的內(nèi)容中，例如：<script>…varmymsg="Un-trustedinput";varuin=Un-trustedinput;…</script>最好不要讓用戶的輸入落在<script>用戶輸入</script>這里，如果無法避免的話，建議嚴(yán)格限制用戶的輸入，比如輸入為整數(shù)時(shí)，要驗(yàn)證輸入是否只包含數(shù)字。當(dāng)輸入為字符串時(shí)，將字符串用單引號(hào)或雙引號(hào)包含起來，并且對用戶的輸入字符中包含的單雙引號(hào)過濾或轉(zhuǎn)換為HTML實(shí)體。4．編碼時(shí)使用ESAPI庫或其他antixss庫。5．針對UTF-7XSS，應(yīng)指定網(wǎng)頁字符集編碼。使用'Content-Type'頭或<meta>標(biāo)記。6．針對MHTMLXSS，將url參數(shù)值中的%0d、%0a、%0D、%0A刪除。嚴(yán)格限制URL參數(shù)輸入值的格式，不能包含不必要的特殊字符（0d、%0a等）。如確實(shí)需要換行，將其轉(zhuǎn)換為<br>輸出。暗鏈漏洞描述：暗鏈在這里通俗的說，網(wǎng)站鏈接中的一種，也稱為黑鏈。如果再通俗的說一點(diǎn)“暗鏈”就是看不見的網(wǎng)站鏈接，“暗鏈”在網(wǎng)站中的鏈接做的非常隱蔽，它和友情鏈接有相似之處，可以有效地提高PR值。黑客取得網(wǎng)站控制權(quán)后，往往通過在被控制網(wǎng)站的首頁放置暗鏈，從而達(dá)到欺騙搜索引擎的效果，使得自身網(wǎng)站搜索引擎權(quán)重大幅提高，在搜索引擎中的排名大幅上升。但這并不是無代價(jià)的，受到損失最大的就是被控制的網(wǎng)站，往往隨著暗鏈所指向的網(wǎng)站的權(quán)重不斷提高，存在暗鏈的網(wǎng)站的權(quán)重將不斷下降，搜索引擎排名也必然一再下降，嚴(yán)重影響網(wǎng)站的影響力。另一方面黑客往往放置的鏈接大多為私服、博彩、色情等非法網(wǎng)站的鏈接，對于被暗鏈網(wǎng)站來說，這無疑也有著巨大的風(fēng)險(xiǎn)。解決方案：刪除暗鏈信息，對系統(tǒng)進(jìn)行徹底的安全檢查ASP.NET用加密的方式保護(hù)敏感信息，但ASP.NET的加密實(shí)現(xiàn)方式存在漏洞，可以被解密，所以存在信息泄漏的漏洞。ASP.NET信息泄漏漏洞描述：ASP.NET由于加密填充驗(yàn)證過程中處理錯(cuò)誤不當(dāng)，導(dǎo)致存在一個(gè)信息披露漏洞。成功利用此漏洞的攻擊者可以讀取服務(wù)器加密的數(shù)據(jù)，例如視圖狀態(tài)。此漏洞還可以用于數(shù)據(jù)篡改，如果成功利用，可用于解密和篡改服務(wù)器加密的數(shù)據(jù)。雖然攻擊者無法利用此漏洞來執(zhí)行代碼或直接提升他們的用戶權(quán)限，但此漏洞可用于產(chǎn)生信息，這些信息可用于試圖進(jìn)一步危及受影響系統(tǒng)的安全。解決方案：安裝微軟的MS10-070補(bǔ)丁。InternetInformationServices（IIS，互聯(lián)網(wǎng)信息服務(wù)）是由微軟公司提供的基于運(yùn)行MicrosoftWindows的互聯(lián)網(wǎng)基本服務(wù)。MicrosoftIIS文件枚舉漏洞漏洞描述：MicrosoftIIS在實(shí)現(xiàn)上存在文件枚舉漏洞，攻擊者可利用此漏洞枚舉網(wǎng)絡(luò)服務(wù)器根目錄中的文件。解決方案：目前廠商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)這個(gè)安全問題，請到廠商的主頁下載：/technet/security//en-us/library/cc959352.aspx此檢測誤報(bào)可能性較大，需要人工驗(yàn)證。CSRF漏洞描述：CSRF是CrossSiteRequestForgery的縮寫（也縮寫為XSRF），直譯過來就是跨站請求偽造的意思，也就是在用戶會(huì)話下對某個(gè)CGI做一些GET/POST的事情——這些事情用戶未必知道和愿意做，你可以把它想做HTTP會(huì)話劫持。解決方案：在Web應(yīng)用程序側(cè)防御CSRF漏洞，一般都是利用referer、token或者驗(yàn)證碼測試發(fā)現(xiàn)WEB程序存在文件上傳功能，文件上傳可能會(huì)存在重大的安全隱患，在特定情況下會(huì)導(dǎo)致攻擊者上傳執(zhí)行任意代碼。HTTPHOST頭部攻擊漏洞描述：一般通用web程序是如果想知道網(wǎng)站域名不是一件簡單的事情，如果用一個(gè)固定的URI來作為域名會(huì)有各種麻煩。開發(fā)人員一般是依賴HTTPHostheader（比如在php里是_SERVER["HTTP_HOST"]），而這個(gè)header很多情況下是靠不住的。而很多應(yīng)用是直接把這個(gè)值不做html編碼便輸出到了頁面中，比如：<linkhref="http://_SERVER['HOST']"(Joomla)還有的地方還包含有secretkey和token，<ahref="http://_SERVER['HOST']?token=topsecret">(Django,Gallery,others)這樣處理問題一般會(huì)很容易遭遇到兩種常見的攻擊：緩存污染和密碼重置。緩存污染是指攻擊者通過控制一個(gè)緩存系統(tǒng)來將一個(gè)惡意站點(diǎn)的頁面返回給用戶。密碼重置這種攻擊主要是因?yàn)榘l(fā)送給用戶的內(nèi)容是可以污染的，也就是說可以間接的劫持郵件發(fā)送內(nèi)容。參考：/papers/1383解決方案：由于http請求的特點(diǎn)，hostheader的值其實(shí)是不可信的。唯一可信的只有SERVER_NAME，這個(gè)在Apache和Nginx里可以通過設(shè)置一個(gè)虛擬機(jī)來記錄所有的非法hostheader。在Nginx里還可以通過指定一個(gè)SERVER_NAME名單，Apache也可以通過指定一個(gè)SERVER_NAME名單并開啟UseCanonicalName選項(xiàng)。建議兩種方法同時(shí)使用。此檢測誤報(bào)可能性較大，需要人工驗(yàn)證。DOMXSS漏洞描述：發(fā)生在客戶端DOM（DocumentObjectModel文檔對象模型）DOM是一個(gè)與平臺(tái)、編程語言無關(guān)的接口，它允許程序或腳本動(dòng)態(tài)地訪問和更新文檔內(nèi)容、結(jié)構(gòu)和樣式，處理后的結(jié)果能夠成為顯示頁面的一部分。DOM中有很多對象，其中一些是用戶可以操縱的，如uRI，location，refelTer等。客戶端的腳本程序可以通過DOM動(dòng)態(tài)地檢查和修改頁面內(nèi)容，它不需要提交數(shù)據(jù)到服務(wù)器端，而從客戶端獲得DOM中的數(shù)據(jù)在本地執(zhí)行，如果DOM中的數(shù)據(jù)沒有經(jīng)過嚴(yán)格確認(rèn)，就會(huì)產(chǎn)生DOMXSS漏洞解決方案：1.對輸入數(shù)據(jù)嚴(yán)格匹配，比如只接受數(shù)字輸入的就不能輸入其他字符。不僅要驗(yàn)證數(shù)據(jù)的類型，還要驗(yàn)證其格式、長度、范圍和內(nèi)容。2.輸入過濾，應(yīng)該在服務(wù)器端進(jìn)行。PHP在設(shè)置magic_quotes_gpc為On的時(shí)候，會(huì)自動(dòng)轉(zhuǎn)義參數(shù)中的單雙引號(hào)，但這不足以用于XSS漏洞的防御，仍然需要在代碼級(jí)別防御。3.輸出編碼，一：用戶輸入的參數(shù)值會(huì)展現(xiàn)在HTML正文中或者屬性值中例如：1）html正文中<ahref=''>Un-trustedinput</a>2）屬性值：<inputname="searchword"value="Un-trustedinput">此時(shí)需要將紅色的不可信內(nèi)容中做如下的轉(zhuǎn)碼(即將<>‘“`轉(zhuǎn)成html實(shí)體)：<--><>-->>'-->'"-->"`-->`(反引號(hào))二：用戶輸入落在<script>的內(nèi)容中例如:<script>…varmymsg="Un-trustedinput";varuin=Un-trustedinput;…</script>最好不要讓用戶的輸入落在<script>用戶輸入</script>這里，如果無法避免的話，建議嚴(yán)格限制用戶的輸入，比如輸入為整數(shù)時(shí)，要驗(yàn)證輸入是否只包含數(shù)字。當(dāng)輸入為字符串時(shí)，將字符串用單引號(hào)或雙引號(hào)包含起來，并且對用戶的輸入字符中包含的單雙引號(hào)過濾或轉(zhuǎn)換為HTML實(shí)體。4.編碼時(shí)使用ESAPI庫或其他antixss庫。jQuery是一個(gè)兼容多瀏覽器的javascript庫,經(jīng)探測，被檢測系統(tǒng)使用的jquery版本存在XSS漏洞。詳情請參看：http://ma.la/jquery_xss//2011/09/01/jquery-1-6-3-released/ApacheTomcat版本低于4.1.37漏洞描述：更新ApacheTomcat到最新版本該漏洞是通過版本號(hào)探測的，可能存在誤報(bào)。該版本ApacheTomcat存在多處安全漏洞，請更新到最新版本。CVE-2008-0128,CVE-2008-1232,CVE-2008-2370參考：/CVE-2008-0128.html/CVE-2008-1232.html/CVE-2008-2370.html解決方案：更新ApacheTomcat到最新版本目錄瀏覽漏洞描述：文件信息、敏感信息的泄露，為進(jìn)一步的針對性攻擊提供了信息如：/databackup/若存在目錄瀏覽，則數(shù)據(jù)庫備份文件暴露就可被任意下載解決方案：你必須確保此目錄中不包含敏感信息。可以在Web服務(wù)器配置中限制目錄列表。建議修正所使用的Web服務(wù)器軟件的目錄權(quán)限設(shè)置。例如，在IIS中取消目錄瀏覽：在nginx中取消目錄瀏覽：去掉配置文件里面的目錄瀏覽項(xiàng)：autoindexon;在apache中取消目錄瀏覽：在Apache配置文件中的目錄配置中的“Indexes”刪除或者改為“-Indexes”發(fā)現(xiàn)設(shè)定的敏感關(guān)鍵字信息發(fā)現(xiàn)敏感關(guān)鍵字漏洞描述：發(fā)現(xiàn)設(shè)定的敏感關(guān)鍵字信息解決方案：用戶認(rèn)證信息不是通過https加密信道傳輸，導(dǎo)致用戶名密碼等敏感信息泄露。WEBDAV開啟漏洞描述：WebDAV是一種基于HTTP1.1協(xié)議的通信協(xié)議.它擴(kuò)展了HTTP1.1，在GET、POST、HEAD等幾個(gè)HTTP標(biāo)準(zhǔn)方法以外添加了一些新的方法。使應(yīng)用程序可直接對WebServer直接讀寫，并支持寫文件鎖定(Locking)及解鎖(Unlock)，還可以支持文件的版本控制。當(dāng)開啟了WebDAV后，并且配置了目錄可寫，便會(huì)產(chǎn)生很嚴(yán)重的安全問題。1禁用WebDAV。2如果要使用WebDAV的話，加上權(quán)限驗(yàn)證。OPTIONS方法是用于請求獲得由Request-URI標(biāo)識(shí)的資源在請求/響應(yīng)的通信過程中可以使用的功能選項(xiàng)。通過這個(gè)方法，客戶端可以在采取具體資源請求之前，決定對該資源采取何種必要措施，或者了解服務(wù)器的性能。開啟該方法有可能泄漏一些敏感信息，為攻擊者發(fā)起進(jìn)一步攻擊提供信息。解決方案：建議關(guān)閉該功能用戶認(rèn)證信息明文傳輸漏洞描述：用戶認(rèn)證信息不是通過https加密信道傳輸，導(dǎo)致用戶名密碼等敏感信息泄露。解決方案：以https方式傳輸此檢測誤報(bào)可能性較大，需要人工驗(yàn)證。ApacheStruts類加載器安全繞過漏洞漏洞描述：ApacheStruts框架是一個(gè)一個(gè)基于JavaServlets,JavaBeans,和JavaServerPages(JSP)的Web應(yīng)用框架的開源項(xiàng)目。ApacheStruts存在安全繞過漏洞，攻擊者利用漏洞繞過某些安全限制和執(zhí)行未經(jīng)授權(quán)的操作。參考：/flaw/show/CNVD-2014-02702解決方案：下載補(bǔ)丁進(jìn)行修復(fù)：/Cookie沒有設(shè)置HttpOnlyCOOKIE的HTTPOnlyflag沒有設(shè)置，對于很多只依賴于cookie驗(yàn)證的網(wǎng)站來說，HttpOnlycookies是一個(gè)很好的解決方案，在支持HttpOnlycookies的瀏覽器中（IE6以上，F(xiàn)F3.0以上），javascript是無法讀取和修改HttpOnlycookies，這樣可讓網(wǎng)站用戶驗(yàn)證更加安全解決方案：盡可能給cookie加上HTTPOnly屬性發(fā)現(xiàn)文件上傳點(diǎn)漏洞描述：WEB程序存在文件上傳功能，文件上傳可能會(huì)存在重大的安全隱患，在特定情況下會(huì)導(dǎo)致攻擊者上傳執(zhí)行任意代碼。存在疑似XSS漏洞描述：Web站點(diǎn)把用戶的輸入未做過濾就直接輸出到頁面，參數(shù)中的特殊字符打破了HTML頁面的原有邏輯，黑客可以利用該漏洞執(zhí)行任意HTML/JS代碼。這里所說的用戶輸入包括用戶提交的GET、POST參數(shù)，還包含HTTPReferrer頭，甚至是用戶的Cookie?？缯灸_本的危害：1.帳號(hào)劫持-攻擊者可以在會(huì)話cookie過期之前劫持用戶的會(huì)話，并以用戶的權(quán)限執(zhí)行操作，如發(fā)布數(shù)據(jù)庫查詢并查看結(jié)果。2.惡意腳本執(zhí)行-用戶可能在不知情的情況下執(zhí)行攻擊者注入到動(dòng)態(tài)生成頁面中的JavaScript、VBScript、ActiveX、HTML甚至Flash內(nèi)容。3.蠕蟲傳播-通過Ajax應(yīng)用，與CSRF漏洞結(jié)合，跨站腳本可以以類似于病毒的方式傳播?？缯灸_本負(fù)載可以自動(dòng)將其自身注入到頁面中，并通過更多的跨站腳本輕易的重新注入同一主機(jī)，而所有這些都無需手動(dòng)刷新頁面。因此，跨站腳本可以使用復(fù)雜的HTTP方式發(fā)送多個(gè)請求，并以用戶不可視的方式自我傳播。4.信息竊取-攻擊者可以通過重新定向和偽造站點(diǎn)將用戶連接到攻擊者所選擇的惡意服務(wù)器并獲得用戶所輸入的任何信息。5.拒絕服務(wù)-通常攻擊者通過在包含有跨站腳本漏洞的站點(diǎn)上使用畸形的顯示請求，就可以導(dǎo)致主機(jī)站點(diǎn)反復(fù)的自我查詢，出現(xiàn)拒絕服務(wù)的情況。6.瀏覽器重新定向-在某些使用幀的站點(diǎn)上，用戶可能在實(shí)際上已經(jīng)被重新定向到惡意站點(diǎn)的情況下誤導(dǎo)為仍處在原始站點(diǎn)上，因?yàn)闉g覽權(quán)地址欄中的URL仍保持不變。這是由于沒有重新定向整個(gè)頁面，而只是執(zhí)行JavaScript的幀。7.控制用戶設(shè)置-攻擊者可以惡意更改用戶設(shè)置。解決方案:1.對輸入數(shù)據(jù)嚴(yán)格匹配，比如只接受數(shù)字輸入的就不能輸入其他字符。不僅要驗(yàn)證數(shù)據(jù)的類型，還要驗(yàn)證其格式、長度、范圍和內(nèi)容。2.輸入過濾，應(yīng)該在服務(wù)器端進(jìn)行。PHP在設(shè)置magic_quotes_gpc為On的時(shí)候，會(huì)自動(dòng)轉(zhuǎn)義參數(shù)中的單雙引號(hào)，但這不足以用于XSS漏洞的防御，仍然需要在代碼級(jí)別防御。3.輸出編碼，一：用戶輸入的參數(shù)值會(huì)展現(xiàn)在HTML正文中或者屬性值中例如：1）html正文中<ahref=''>Un-trustedinput</a>2）屬性值：<inputname="searchword"value="Un-trustedinput">此時(shí)需要將紅色的不可信內(nèi)容中做如下的轉(zhuǎn)碼(即將<>‘“`轉(zhuǎn)成html實(shí)體)：<--><>-->>'-->'"-->"`-->`(反引號(hào))敏感文件泄露漏洞危害：例如備份文件、打包文件、系統(tǒng)接口、保密文檔、管理后臺(tái)這些文件可能會(huì)泄漏一些敏感信息，幫助惡意用戶準(zhǔn)備進(jìn)一步攻擊。解決方案:在生產(chǎn)系統(tǒng)中刪除或限制訪問這些文件；用戶認(rèn)證信息不是通過https加密信道傳輸，導(dǎo)致用戶名密碼等敏感信息泄露。以https方式傳輸此檢測誤報(bào)可能性較大，需要人工驗(yàn)證。任意頁面跳轉(zhuǎn)漏洞描述：Web應(yīng)用程序接收到用戶提交的URL參數(shù)后，沒有對參數(shù)做“可信任URL”的驗(yàn)證，就向用戶瀏覽器返回跳轉(zhuǎn)到該URL的指令，例如：/redirect.do?url=危害：被用來實(shí)施釣魚攻擊解決方案:限制跳轉(zhuǎn)域名或?qū)μD(zhuǎn)進(jìn)行驗(yàn)證，如白名單，黑名單限制，或帶上token參數(shù)。發(fā)現(xiàn)設(shè)定的敏感關(guān)鍵字信息UTF-7XSS漏洞描述：指由于沒有指定頁面編碼，導(dǎo)致瀏覽器將編碼以UTF-7解析，形成XSS。解決方案：應(yīng)指定網(wǎng)頁字符集編碼。使用'Content-Type'頭或<meta>標(biāo)記Json劫持漏洞漏洞描述：JSON(JavaScriptObjectNotation)是一種輕量級(jí)的數(shù)據(jù)交換格式。易于人閱讀和編寫。同時(shí)也易于機(jī)器解析和生成。但是如果這種交互的方式用來傳遞敏感的數(shù)據(jù)，并且傳輸?shù)臅r(shí)候沒有做太多安全性控制的話將導(dǎo)致安全漏洞，根據(jù)敏感信息的不同導(dǎo)致會(huì)導(dǎo)致應(yīng)用遭受不同級(jí)別的攻擊。解決方案：1referer的來源限制，利用前端referer的不可偽造性來保障請求數(shù)據(jù)的應(yīng)用來源于可信的地方，某些情況下（如存在xss）可能導(dǎo)致被繞過。

2token的加入，利用token對調(diào)用者的身份進(jìn)行認(rèn)證，這種方式對于調(diào)用者的身份會(huì)要求力度較細(xì)，但是一旦出現(xiàn)xss也可能導(dǎo)致前端Token的泄露，從而導(dǎo)致保護(hù)失效。Nginx遠(yuǎn)程安全漏洞漏洞危害：CVE:CVE-2013-2070CNNVD:CNNVD-201305-235nginx是一款由俄羅斯程序員IgorSysoev所開發(fā)輕量級(jí)的網(wǎng)頁服務(wù)器、反向代理服務(wù)器以及電子郵件（IMAP/POP3）代理服務(wù)器。Nginx中存在遠(yuǎn)程安全漏洞。攻擊者可利用該漏洞造成拒絕服務(wù)或獲得敏感信息。解決方案：目前廠商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)此安全問題，補(bǔ)丁獲取鏈接：

/nginxURIProcessing安全繞過漏洞漏洞危害：CVE:CVE-2013-4547CNNVD:CNNVD-201311-336nginx是俄羅斯軟件開發(fā)者IgorSysoev所研發(fā)的一款HTTP和反向代理服務(wù)器，也可以作為郵件代理服務(wù)器。nginx0.8.41至1.4.3版本和1.5.7之前的1.5.x版本中存在安全漏洞，當(dāng)程序驗(yàn)證請求URIs包含未轉(zhuǎn)義的空格字符時(shí)存在錯(cuò)誤。遠(yuǎn)程攻擊者可利用該漏洞繞過既定的限制。解決方案：目前廠商已經(jīng)發(fā)布了升級(jí)補(bǔ)丁以修復(fù)此安全問題，補(bǔ)丁獲取鏈接：

/pipermail/nginx-announce/2013/000125.htmlNginx‘a(chǎn)ccess.log’不安全文件權(quán)限漏洞漏洞危害：CVE:CVE-2013-0337CNNVD:CNNVD-201302-530nginx是多平臺(tái)的HTTP服務(wù)器和郵件代理服務(wù)器。Nginx中的access.log中存在不安全文件權(quán)限漏洞。本地攻擊者利用該漏洞獲得訪問到全局可讀的日志文件權(quán)限進(jìn)而從中提取敏感信息，信息的獲得有助于其他攻擊。解決方案：內(nèi)網(wǎng)地址信息泄露.漏洞危害：發(fā)現(xiàn)頁面存在內(nèi)網(wǎng)地址信息泄露風(fēng)險(xiǎn)，可能會(huì)對進(jìn)一步的黑客攻擊提供信息。解決方案：外網(wǎng)生產(chǎn)環(huán)境去除內(nèi)網(wǎng)地址信息。SSLv3POODLE漏洞漏洞危害：這個(gè)漏洞和之前的B.E.A.S.T(BrowserExploitAgainstSSLTLS)非常相似，但是目前還沒有可靠的解決辦法，除非完全禁用SSLv3的支持。簡單的說，攻擊者可獲取你加密流中的明文數(shù)據(jù)。解決方案：Apache在Apache的SSL配置中禁用SSLv3和SSLv3：SSLProtocolall-SSLv2-SSLv3Nginx在Nginx只允許使用TLS協(xié)議：ssl_protocolsTLSv1TLSv1.1TLSv1.2;ApacheHTTPServer拒絕服務(wù)漏洞漏洞危害：該漏洞是通過版本號(hào)探測的，可能存在誤報(bào)ApacheHTTPServer是一款開源的流行的HTTPD服務(wù)程序.當(dāng)處理包含大量Ranges頭的HTTP請求時(shí)，ByteRange過濾器存在一個(gè)錯(cuò)誤，攻擊者可以向服務(wù)器發(fā)送特制HTTP請求，消耗大量內(nèi)存，造成應(yīng)用程序崩潰CVE-2011-3192解決方案：更新Apache到最新版本</p>點(diǎn)擊劫持：缺少X-Frame-Options頭漏洞危害：Clickjacking（點(diǎn)擊劫持）是由互聯(lián)網(wǎng)安全專家羅伯特·漢森和耶利米·格勞斯曼在2008年首創(chuàng)的。是一種視覺欺騙手段，在web端就是iframe嵌套一個(gè)透明不