1、网站漏洞危害及整改建议1. 网站木马1.1 危害利用 IE 浏览 器漏洞, 让 IE 在后台自动 下载黑客放置在网站上的木马并运行(安装)这个木马,即这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始,从而实现控制访问者电脑或安装恶意软件的目的。1.2 利用方式表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。可被木马植入的网页也意味着能被篡改页面内容。1.3 整改建议1)
2、加强网站程序安全检测,及时修补网站漏洞;2)对网站代码进行一次全面检测,查看是否有其余恶意程序存在;3)建议重新安装服务器及程序源码,防止有深度隐藏的恶意程序无法检测到,导致重新安装系统后攻击者仍可利用后门进入;4)如有条件,建议部署网站防篡改设备。2 . 网站暗链2.1 危害网站被恶意攻击者插入大量暗链,将会被搜索引擎惩罚,降低权重值;被插入大量恶意链接将会对网站访问者造成不良影响;将会协助恶意网站(可能为钓鱼网站、反动网站、赌博网站等)提高搜索引擎网站排名。可被插入暗链的网页也意味着能被篡改页面内容。2.2 利用方式“暗链”就是看不见的网站链接, “暗链”在网站中的链接做的非常隐蔽,可能访
3、问者并不能一眼就能识别出被挂的隐藏链接。它和友情链接有相似之处,可以有效地提高 PR值,所以往往被恶意攻击者利用。2.3 整改建议1)加强网站程序安全检测,及时修补网站漏洞;2)对网站代码进行一次全面检测,查看是否有其余恶意程序存在;3)建议重新安装服务器及程序源码,防止无法到检测深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入;4)如有条件,建议部署网站防篡改设备。3 . 页面篡改3.1 危害政府门户网站一旦被篡改将造成多种严重的后果,主要表现在以下一些方面: 1)政府形象受损;2)影响信息发布和传播;3)恶意发布有害违法信息及言论; 4)木马病毒传播,引发系统崩溃、数据损坏等;
4、 5)造成泄密事件。 3.2 利用方式恶意攻击者得到网站权限篡改网站页面内容,一般多为网站首页,或者得到域名控制权限后通过修改域名 A 记录,域名劫持也可达到页面篡改的目的。3.3 整改建议1)加强网站程序安全检测,及时修补网站漏洞;2)对网站代码进行一次全面检测,查看是否有其余恶意程序存在;3)建议重新安装服务器及程序源码,防止无法检测到深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入;4)如有条件,建议部署网站防篡改设备。4SQL 注入4.1 危害这些危害包括但不局限于:1)数据库信息泄漏:数据库中存放的用户的隐私信息的泄露;2)网页篡改:通过操作数据库对特定网页进行篡改;3)
5、网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击;4)数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被篡改;5)服务器被远程控制安装后门,经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统;6)破坏硬盘数据,瘫痪全系统;一些类型的数据库系统能够让 SQL 指令操作文件系统,这使得 SQL 注入的危害被 进一步放大。4.2 利用方式由于程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得某些攻击者想得知的数据,甚至获得管理权限。4.3 整改建议1)修改
6、网站源代码,对用户交互页面提交数据进行过滤,防止 SQL 注入漏洞 产生;2)对网站代码进行一次全面检测,查看是否有恶意程序存在;3)建议重新安装服务器及程序源码,防止无法检测到深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入;4)如有条件,建议部署 WEB 应用防火墙等相关设备。5. 后台管理5.1 危害站点信息的更新通常通过后台管理来实现,web 应用程序开发者或者站点维护者可能使用常用的后台地址名称来管理,比如 admin、manager 等。攻击者可能通过使用上述常用地址尝试访问目标站点,获取站点的后台管理地址,从而可以达到暴力破解后台登录用户口令的目的。攻击者进入后台管理
7、系统后可以直接对网站内容进行增加、篡改或删除。5.2 利用方式通过使用常用的管理后台地址尝试访问目标站点,获取站点的后台管理地址,使用字典暴力猜解网站后台地址。如后台管理的口令较弱则可能被猜解而进入管理界面,如管理登入存在注入漏洞则可能验证被绕过而直接进入管理界面。5.3 整改建议1)为后台管理系统设置复杂访问路径,防止被攻击者轻易找到;2)增加验证码后台登录身份验证措施,防止攻击者对后台登录系统实施自动暴力攻击;3)修改网站源代码,对用户提交数据进行格式进行限制,防止因注入漏洞等问题导致后台验证绕过问题;4)加强口令管理,从管理和技术上限定口令复杂度及长度。6 . 攻击痕迹6.1 危害网站常
8、见的攻击痕迹:恶意脚本痕迹、异常文件提交痕迹、异常账号建立痕迹、异常网络连接等,一旦发现网站存在攻击痕迹,说明网站已经或曾经被入侵过。6.2 整改建议1)加强网站程序安全检测,及时修补网站漏洞;2)对网站代码进行一次全面检测,及时发现网站代码中存在的问题,查看是否有恶意程序存在;3)建议重新安装服务器及程序源码,防止无法检测到深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入。7. 跨站脚本7.1 危害1)钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼JavaScript 以监控目 标网站的表单输入,甚至发起基于DHTML 更高 级的钓
9、鱼 攻击方式。2)网站挂马:跨站时利用 IFrame 嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。3)身份盗用:Cookie 是用户对于特定网站的身份验证标志,XSS 可以盗取到用 户的 Cookie,从而利用 该 Cookie 盗取用户对该网站的操作权限。如果一个网站管理员用户Cookie 被窃取,将会对网站引发严重危害。4)盗取网站用户信息:当能够窃取到用户 Cookie 从而获取到用户身份使,攻击者可以获取到用户对网站的操作权限,从而查看用户隐私信息。5)垃圾信息发送:如在 SNS 社区中,利用 XSS 漏洞借用被攻击者的身份发送大量的
10、垃圾信息给特定的目标群。6)劫持用户 Web 行为:一些高级的 XSS 攻击甚至可以劫持用户的 Web 行为,监视用户的浏览历史,发送与接收的数据等等。7)XSS 蠕虫: XSS 蠕虫可以用来打广告、刷流量、挂 马、恶作剧、破坏网上数据、实施 DDoS 攻击等。7.2 利用方式XSS 攻击 使用到的技 术主要为 HTML 和 Javascript,也包括 VBScript 和 ActionScript 等。XSS 攻击对 WEB 服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,从而对网站产生较严重的危害。 7.3 整改建议1)修改网站源代码,对用户
11、交互页面提交数据进行过滤,防止 SQL 注入漏洞 产生;2)对网站代码进行一次全面检测,查看是否有恶意程序存在;3)建议重新安装服务器及程序源码,防止无法检测到深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入;4)如有条件,建议部署 WEB 应用防火墙等相关设备。8 . 文件包含8.1 危害由于开发人员编写源码,开发者将可重复使用的代码插入到单个的文件中,并在需要的时候将它们包含在特殊的功能代码文件中,然后包含文件中的代码会被解释执行。由于并没有针对代码中存在文件包含的函数入口做过滤,导致客户端可以提交恶意构造语句,并交由服务器端解释执行。8.2 利用方式文件包含漏洞,如果允许客户
12、端用户输入控制动态包含在服务器端的文件,会导致恶意代码的执行及敏感信息泄露,主要包括本地文件包含和远程文件包含两种形式。8.3 整改建议修改程序源代码,禁止服务器端通过动态包含文件方式的文件链接。9. 目录遍历9.1 危害程序中如果不能正确地过滤客户端提交的/和./之类的目录跳转符,恶意者就可以通过上述符号跳转来访问服务器上的特定的目录或文件。9.2 利用方式提交/和./之类的目录跳转符,恶意者就可以通过上述符号跳转来访问服务器上的特定的目录或文件。9.3 整改建议加强网站访问权限控制,禁止网站目录的用户浏览权限。10. 危险端口10.1 危害开放危险端口(数据库、远程桌面、telnet 等)
13、,可被攻击者尝试弱口令登录或暴力猜解登录口令,或利用开放的端口进行 DDOS 拒绝服务攻击。10.2 利用方式弱口令尝试和暴力猜解。10.3 整改建议加强网站服务器的端口访问控制,禁止非必要端口对外开放。例如数据库连接端口1433、1521、3306等;谨慎开放远程管理端口3389、23、22、21等,如有远程管理需要,建议对端口进行更改或者管理 IP 进行限制。11. 信息泄露11.1 危害目标网站 WEB 程序和服务器未屏蔽错误信息,未做有效权限控制,可能导致泄漏敏感信息,恶意攻击者利用这些信息进行进一步渗透测试。11.2 利用方式信息泄漏的利用方式包括但不限于以下攻击方式:1)phpin
14、fo 信息泄漏;2)测试页面泄漏在外网;3)备份文件泄漏在外网;4)版本管理工具文件信息泄漏;5)HTTP 认证泄漏;6)泄漏员工电子邮箱漏洞以及分机号码;7)错误详情泄漏;8)网站真实存放路径泄漏。11.3 整改建议1)加强网站服务器配置,对默认错误信息进行修改,避免因客户端提交的非法请求导致服务器返回敏感信息。2)尽量不在网站目录下存放备份、测试等可能泄露网站内容的文件。12. 中间件12.1 危害WEB 应用程序的搭建环境会利用到中间件,如:IIS、apache、weblogic 等,而这些中间件 软件都存在一些漏洞,如:拒绝服务漏洞,代码执行漏洞、跨站脚本漏洞等。恶意攻击者利用中间件的
15、漏洞可快速成功攻击目标网站。12.2 利用方式判断中间件版本,利用已公布的漏洞 exp 进行攻击,或挖掘识别出的版本所存在的安全漏洞。12.3 整改建议加强网站 web 服务器、中间件配置,及时更新中间件安全补丁,尤其注意中间件管理平台的口令强度。13. 第三方插件13.1 危害WEB 应用程序很多依靠其他第三方插件搭配,如编辑器、网站框架,这些第三方插件也会存在一些漏洞,若未做安全配置,使用默认安装也会产生一些安全隐患,导致攻击者可以任意新增、读取、修改或删除应用程序中的资料,最坏的情况是造成攻击者能够完全获取整个网站和数据库的控制权限,包括修改删除网站页面、窃取数据库敏感信息,甚至以网站为
16、跳板,获取整个内网服务器控制权限。13.2 利用方式识别当前网站程序所涉及的第三方插件,针对第三方插件进行漏洞攻击13.3 整改建议一些不安全的第三方插件,可能存在众多已知或未知漏洞,攻击者利用这些第三方插件漏洞,可能获取网站文件、控制服务器。如果网站需要引入第三方插件,建议上线前进行安全检测或加固,尽量不要采用一些存在问题较多的中间件,例如 fckeditor 等。14. 文件上传14.1 危害由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问 的目录上传任意后缀文件,并能将这些文件传递给脚本解释器,就可以在远程服务器上执行任意脚本或
17、恶意代码。14.2 利用方式直接上传可被执行的脚本文件,绕过文件限制上传可被执行的脚本文件。14.3 整改建议对网站所有上传接口在服务器端进行严格的类型、大小等控制,防止攻击者利用上传接口上传恶意程序。15. 配置文件15.1 危害未做严格的权限控制,恶意攻击者可直接访问配置文件,将会泄漏配置文件内的敏感信息。15.2 利用方式尝试访问常见配置文件路径,查看是否泄漏敏感信息。15.3 整改建议加强对网站常见默认配置文件比如数据库连接文件、备份数据库等文件的管理,避免使用默认配置路径及默认格式存放,防止攻击者针对网站类型直接获取默认配置文件。16. 冗余文件16.1 危害未做严格的权限控制,如备
18、份信息或临时文件等冗余文件将会泄漏敏感信息。16.2 利用方式利用字典尝试冗余文件是否存在,并且判断是否存在可利用的敏感信息。16.3 整改建议1)注意对网站所有目录中文件进行监控,避免将网站打包备份文件、数据库备份文件等直接存放在网站目录下;2)定期对网站目录中文件进行比对,及时发现并清除被插入页面或上传的恶意程序。17. 系统漏洞17.1 危害系统漏洞问题是与时间紧密相关的。一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来。如果系统中存在安全漏洞没有及时修复,并且计算机内没有防病毒软件等安全防护措施,很有可能会被病毒、木马所利用,轻则使计算机操作系统某些功能不能正常使用,重则会使用户账号密码丢失、系统破坏等。17.2 利用方式通过漏洞扫描软件获取当前系统存在的漏洞信息,进行利用。17.3 整改建议1)及时更新网站服务器、中间件、网站应用程序等发布的安全漏洞补丁或安全增强措施;2)如果因特殊情况不宜升级补丁,则应该根据漏洞情况使用一些第三方的安全防护措施防止漏洞被利用;3)如有条件,建议经常对网站进行系统层漏洞检测。
