您選的網(wǎng)站制作公司安全嗎?
時(shí)間: 2018-10-24 分享新聞到
從而公司網(wǎng)站無法正常使用,客戶流失,信譽(yù)受損!網(wǎng)站被迫重新設(shè)計(jì),得不償失!
下面廣州網(wǎng)站建設(shè)公司-深圳網(wǎng)站制作公司-品拓互聯(lián)專業(yè)13年網(wǎng)站設(shè)計(jì)供應(yīng)商從技術(shù)上分析網(wǎng)站建設(shè)安全構(gòu)成及危害系數(shù):
第1章 概述
第2章 門戶網(wǎng)站建設(shè)現(xiàn)有問題和漏洞
2.1. 主機(jī)漏洞列表 3
2.1.1. 192.168.100.27 3
2.1.2. 192.168.100.21 3
2.2. 門戶網(wǎng)站應(yīng)用系統(tǒng)漏洞列表 5
第3章 門戶網(wǎng)站主機(jī)服務(wù)器加固措施 6
3.1. 192.168.100.27 6
3.2. 192.168.100.21 6
第4章 門戶網(wǎng)站應(yīng)用系統(tǒng)加固措施 7
4.1. 漏洞1:敏感信息泄漏 7
4.2. 漏洞2:已解密的登陸請求 7
4.3. 漏洞3:XSS跨站腳本攻擊 7
4.4. 漏洞4:Robots.txt 文件 Web 站點(diǎn)結(jié)構(gòu)暴露 8
4.5. 漏洞5:隱藏目錄泄露 9
第5章 門戶網(wǎng)站整體安全防護(hù)建議 10
第6章 風(fēng)險(xiǎn)的應(yīng)對措施 11
第1章 概述
安全加固服務(wù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全、信息系統(tǒng)安全的關(guān)鍵環(huán)節(jié),通過該服務(wù),協(xié)助學(xué)校進(jìn)行系統(tǒng)和應(yīng)用組件加固,消除存在的各種安全隱患,確保系統(tǒng)和應(yīng)用及時(shí)更新,先于黑客的攻擊進(jìn)行加固,提高安全性。
安全加固服務(wù)具體是根據(jù)風(fēng)險(xiǎn)評估結(jié)果,制定相應(yīng)安全加固方案,針對特定的加固對象,通告打補(bǔ)丁、升級應(yīng)用程序軟件、修改安全配置、完善安全策略等方法,合理進(jìn)行安全性修復(fù)和加強(qiáng),安全加固的主要目的是消除與降低安全隱患,盡可能修復(fù)已發(fā)現(xiàn)的安全漏洞,盡可能避免安全風(fēng)險(xiǎn)的發(fā)生。
10月16日廣州市網(wǎng)絡(luò)與信息中心安全通報(bào)中心通報(bào)貴司存在敏感信息泄漏安全隱患,需對門戶網(wǎng)站的安全隱患進(jìn)行排查和修復(fù)。經(jīng)我公司進(jìn)一步排查,存在高、中危漏洞的情況及相應(yīng)加固措施和整體安全防護(hù)建議,附后。
為確保安全加固工作能夠順利進(jìn)行并達(dá)到安全加固目標(biāo),安全加固應(yīng)盡量規(guī)避加固工作中可能的風(fēng)險(xiǎn),最終保證加固工作的順利進(jìn)行,確保信息系統(tǒng)的安全穩(wěn)定運(yùn)行。
第2章 門戶網(wǎng)站現(xiàn)有問題和漏洞
本安全加固方案只針對發(fā)現(xiàn)的高、中危漏洞進(jìn)行安全加固,低危漏洞暫不進(jìn)行。
2.1. 主機(jī)漏洞列表
2.1.1. 192.168.100.27
序號
漏洞名稱
漏洞級別
1
FTP 口令猜測
高危險(xiǎn)
2
Oracle MySQL Server 遠(yuǎn)程安全漏洞(CVE-2014-0386)
中危險(xiǎn)
3
Oracle MySQL Server 遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2014-0401)
中危險(xiǎn)
4
Oracle MySQL Server 遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2014-0402)
中危險(xiǎn)
5
Oracle MySQL Server 拒絕服務(wù)漏洞(CVE-2014-0412)
中危險(xiǎn)
2.1.2. 192.168.100.21
序號
漏洞名稱
危險(xiǎn)級別
1
Oracle數(shù)據(jù)庫Listener組件安全漏洞(CVE-2010-0911)
高危險(xiǎn)
2
Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-2239)
高危險(xiǎn)
3
Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-2253)
高危險(xiǎn)
4
Oracle數(shù)據(jù)庫服務(wù)器UIX組件安全漏洞(CVE-2011-0805)
中危險(xiǎn)
5
Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-0831)
中危險(xiǎn)
6
Oracle數(shù)據(jù)庫服務(wù)器Database Vault組件安全漏洞(CVE-2011-2238)
中危險(xiǎn)
7
Oracle數(shù)據(jù)庫服務(wù)器Job Queue組件安全漏洞
中危險(xiǎn)
8
Oracle數(shù)據(jù)庫CMDB Metadata & Instance APIs組件安全漏洞
中危險(xiǎn)
9
Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-0876)
中危險(xiǎn)
10
Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-0838)
中危險(xiǎn)
11
Oracle數(shù)據(jù)庫Instance Management組件安全漏洞(CVE-2011-0879)
中危險(xiǎn)
12
Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-2232)
中危險(xiǎn)
13
Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-0832)
中危險(xiǎn)
14
Oracle數(shù)據(jù)庫Java虛擬機(jī)組件安全漏洞(CVE-2010-0866)
中危險(xiǎn)
15
Oracle數(shù)據(jù)庫服務(wù)器Spatial組件安全漏洞
中危險(xiǎn)
16
Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-2257)
中危險(xiǎn)
17
Oracle數(shù)據(jù)庫服務(wù)器權(quán)限許可和訪問控制漏洞(CVE-2008-6065)
中危險(xiǎn)
18
Oracle數(shù)據(jù)庫服務(wù)器Change Data Capture組件SQL注入漏洞
中危險(xiǎn)
19
Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-0870)
中危險(xiǎn)
20
Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-2230)
中危險(xiǎn)
21
Oracle數(shù)據(jù)庫Oracle OLAP組件安全漏洞(CVE-2010-0902)
中危險(xiǎn)
22
Oracle數(shù)據(jù)庫服務(wù)器Database Vault組件安全漏洞(CVE-2010-4421)
中危險(xiǎn)
23
Oracle數(shù)據(jù)庫Security Framework組件安全漏洞(CVE-2011-0848)
中危險(xiǎn)
24
Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件遠(yuǎn)程安全漏洞(CVE-2011-0880)
中危險(xiǎn)
25
Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-0835)
中危險(xiǎn)
26
Oracle數(shù)據(jù)庫Java虛擬機(jī)組件安全漏洞(CVE-2010-0867)
中危險(xiǎn)
27
Oracle數(shù)據(jù)庫服務(wù)器Scheduler Agent組件安全漏洞
中危險(xiǎn)
28
Oracle數(shù)據(jù)庫XML Developer Kit組件安全漏洞(CVE-2011-2231)
中危險(xiǎn)
29
Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-2244)
中危險(xiǎn)
30
Oracle數(shù)據(jù)庫服務(wù)器Java虛擬機(jī)組件安全漏洞
中危險(xiǎn)
2.2. 門戶網(wǎng)站應(yīng)用系統(tǒng)漏洞列表
序號
漏洞名稱
漏洞級別
1
敏感信息泄漏
高危險(xiǎn)
2
已解密的登陸請求
高危險(xiǎn)
3
XSS跨站腳本攻擊
高危險(xiǎn)
4
Robots.txt 文件 Web 站點(diǎn)結(jié)構(gòu)暴露
中危險(xiǎn)
5
隱藏目錄泄露
中危險(xiǎn)
第3章 門戶網(wǎng)站主機(jī)服務(wù)器加固措施
3.1. 192.168.100.27
? 對于FTP口令猜測漏洞,建議排查各FTP弱口令賬號,加強(qiáng)口令強(qiáng)度,并定期修改口令。
? 對于Oracle MySQL Server 遠(yuǎn)程安全漏洞、Oracle MySQL Server 遠(yuǎn)程拒絕服務(wù)漏洞,建議升級Oracle數(shù)據(jù)庫補(bǔ)丁,補(bǔ)丁獲取鏈接:
http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html。
3.2. 192.168.100.21
需升級oracle數(shù)據(jù)庫補(bǔ)丁,需升級的各補(bǔ)丁獲取鏈接見下:
http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html
http://www.oracle.com/technetwork/topics/security/cpujul2010-155308.html
http://www.oracle.com/technetwork/topics/security/cpuapr2011-301950.html
http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html
http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html
http://www.oracle.com/technetwork/topics/security/cpuapr2010-099504.html
http://www.oracle.com/technetwork/topics/security/whatsnew/index.html
第4章 門戶網(wǎng)站應(yīng)用系統(tǒng)加固措施
4.1. 漏洞1:敏感信息泄漏
漏洞名稱
敏感信息泄漏
危險(xiǎn)級別
高危險(xiǎn)
漏洞URL
漏洞描述
頁面中顯示數(shù)據(jù)庫查詢語句,造成數(shù)據(jù)庫名和其他敏感信息泄漏。由于程序在編寫時(shí)沒有過濾錯(cuò)誤信息,導(dǎo)致這些信息暴露在前端,這可能會被攻擊者加以利用。
加固建議
嚴(yán)格過濾報(bào)錯(cuò)信息,使這些信息不顯示在前端,或不管是什么類型的錯(cuò)誤僅顯示一種固定的錯(cuò)誤信息。
4.2. 漏洞2:已解密的登陸請求
漏洞名稱
敏感信息泄漏
危險(xiǎn)級別
高危險(xiǎn)
漏洞URL
漏洞描述
檢測到將未加密的登錄請求發(fā)送到服務(wù)器。由于登錄過程中所使用的部分輸入字段(例如:用戶名、密碼、電子郵件地址、社會安全號等)是個(gè)人敏感信息,這可能會被攻擊者加以利用。
加固建議
1、采用HTTPS協(xié)議;
2、使用MD5加密對用戶名/密碼等敏感信息進(jìn)行加密,確保敏感信息以加密方式傳給服務(wù)器。
4.3. 漏洞3:XSS跨站腳本攻擊
漏洞名稱
XSS跨站腳本攻擊
危險(xiǎn)級別
高危險(xiǎn)
漏洞URL
漏洞描述
跨站腳本攻擊(Cross-site scripting,通常簡稱為XSS)發(fā)生在客戶端,可被用于進(jìn)行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。 惡意的攻擊者將對客戶端有危害的代碼放到服務(wù)器上作為一個(gè)網(wǎng)頁內(nèi)容, 使得其他網(wǎng)站用戶在觀看此網(wǎng)頁時(shí),這些代碼注入到了用戶的瀏覽器中執(zhí)行,使用戶受到攻擊。一般而言,利用跨站腳本攻擊,攻擊者可竊會話COOKIE從而竊取網(wǎng)站用戶的隱私。
加固建議
對全局參數(shù)做html轉(zhuǎn)義過濾(要過濾的字符包括:單引號、雙引號、大于號、小于號,&符號),防止腳本執(zhí)行。在變量輸出時(shí)進(jìn)行HTML ENCODE 處理。
4.4. 漏洞4:Robots.txt 文件 Web 站點(diǎn)結(jié)構(gòu)暴露
漏洞名稱
Robots.txt 文件 Web 站點(diǎn)結(jié)構(gòu)暴露
危險(xiǎn)級別
中危險(xiǎn)
漏洞URL
漏洞描述
Web 服務(wù)器或應(yīng)用程序服務(wù)器是以不安全的方式配置的
加固建議
[1] robots.txt 文件不應(yīng)用來保護(hù)或隱藏信息
[2] 您應(yīng)該將敏感的文件和目錄移到另一個(gè)隔離的子目錄,以便將這個(gè)目錄排除在 Web Robot 搜索之外。如下列示例所示,將文件移到“folder”之類的非特定目錄名稱是比較好的解決方案:
New directory structure:
/folder/passwords.txt
/folder/sensitive_folder/
New robots.txt:
User-agent: *
Disallow: /folder/
[3] 如果您無法更改目錄結(jié)構(gòu),且必須將特定目錄排除于 Web Robot 之外,在 robots.txt 文件中,請只用局部名稱。雖然這不是最好的解決方案,但至少它能加大完整目錄名稱的猜測難度。例如,如果要排除“sensitive_folder”和 “passwords.txt”,請使用下列名稱(假設(shè) Web 根目錄中沒有起始于相同字符的文件或目錄):
robots.txt:
User-agent: *
Disallow: /se
Disallow: /pa
4.5. 漏洞5:隱藏目錄泄露
漏洞名稱
隱藏目錄泄漏
危險(xiǎn)級別
中危險(xiǎn)
漏洞URL
漏洞描述
檢測到服務(wù)器上的隱藏目錄。403 Forbidden 響應(yīng)泄露了存在此目錄,容易被黑客收集信息結(jié)合其他攻擊對服務(wù)器進(jìn)行入侵。
加固建議
可對禁止的資源發(fā)布“404 - Not Found”響應(yīng)狀態(tài)代碼,或者將其完全除去。建議,在IIS設(shè)置對403狀態(tài)的錯(cuò)誤頁面指向404。
第5章 門戶網(wǎng)站整體安全防護(hù)建議
? 對主機(jī)進(jìn)行安全基線檢查并對薄弱項(xiàng)進(jìn)行加固;
? 對主機(jī)服務(wù)器操作系統(tǒng)、FTP、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)置強(qiáng)口令策略,并定期修改口令;
? 主機(jī)服務(wù)器安裝防病毒軟件,并及時(shí)進(jìn)行病毒庫升級,定期進(jìn)行病毒查殺;
? 部署WEB應(yīng)用防護(hù)系統(tǒng)(如果無),加強(qiáng)對門戶網(wǎng)站等互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全防護(hù);
? 購買SSL證書服務(wù),將門戶網(wǎng)站HTTP訪問方式改為HTTPS安全加密方式訪問;
? 將門戶網(wǎng)站接入政府網(wǎng)站綜合防護(hù)系統(tǒng)(網(wǎng)防G01)進(jìn)行云安全監(jiān)測與防護(hù)。
第6章 風(fēng)險(xiǎn)的應(yīng)對措施
為防止在加固過程中出現(xiàn)的異常狀況,所有被加固系統(tǒng)均應(yīng)在加固操作開始前進(jìn)行完整的數(shù)據(jù)備份;
安全加固時(shí)間應(yīng)盡量選擇業(yè)務(wù)可中止的時(shí)段;
加固過程中,涉及修改文件等內(nèi)容時(shí),將備份源文件在同級目錄中,以便回退操作;
安全加固完成后,需重啟主機(jī),因此需要學(xué)校安排相應(yīng)的人員協(xié)助進(jìn)行加固;
在加固完成后,如果出現(xiàn)被加固系統(tǒng)無法正常工作,應(yīng)立即恢復(fù)所做各項(xiàng)配置變更,待業(yè)務(wù)應(yīng)用正常運(yùn)行后,再行協(xié)商后續(xù)加固工作的進(jìn)行方式。
粵公網(wǎng)安備 44010602006226號
