1、漏洞修復建議漏洞修復建議23目 錄 一. 應用層漏洞修復建議51.1 A1-注入51.1.1描述51.1.2危害51.1.3案例61.1.4加固建議61.2 A1-失效的身份認證和會話管理71.2.1 描述71.2.2 危害71.2.3 案例81.2.4 加固建議81.3 A3-跨站腳本91.3.1 描述91.3.2 危害91.3.3 案例91.3.4 加固建議91.4 A4-不安全的直接對象引用101.4.1 描述101.4.2 危害101.4.3 案例111.4.4 加固建議111.5 A5-安全配置錯誤111.5.1 類型111.5.2 危害121.5.3 案例121.5.4 加固建議1

2、21.6 A6-敏感數據泄露131.6.1 類型131.6.2 危害131.6.3 案例131.6.4 加固建議141.7 A7-缺乏功能層次的訪問控制141.7.1 類型141.7.2 危害141.7.3 案例141.7.4 加固建議151.8 A8-跨站請求偽造151.8.1 類型151.8.2 危害151.8.3 案例161.8.4 加固建議161.9 A9-使用含已知漏洞的組件161.9.1 類型161.9.2 危害171.9.3 案例171.9.4 加固建議171.10 A10-未驗證的重定向和跳轉171.10.1 類型171.10.2 危害171.10.3 案例181.10.4 加

3、固建議18二. 主機層漏洞修復建議182.1 Windows182.1.1 類型182.1.2 加固建議192.2 Unix/Linux192.2.1 類型192.2.2 加固建議192.3 Oracle192.3.1 類型192.3.2 加固建議192.4 Mysql202.4.1 類型202.4.2 加固建議202.5 SQL Server202.5.1 類型202.5.2 加固建議202.6 Tomcat/Apache212.6.1 類型212.6.2 加固建議212.7 Weblogic212.7.1 類型212.7.2 加固建議21三. 網絡設備類漏洞修復建議223.1 路由器/交換

4、機223.1.1 類型223.1.2 加固建議223.2 防火墻/安全設備223.2.1 類型223.2.2 加固建議22四. 弱口令類修復建議234.1 FTP/SSH/TELNET/SMB/HTTP等認證協議234.1.1 漏洞類型234.1.2 加固建議23五. 其他類修復建議235.1.1 類型235.1.2 加固建議23六. 附件24一. 應用層漏洞修復建議1.1 A1-注入1.1.1 描述注入攻擊漏洞往往是應用程序缺少對輸入進行安全性檢查所引起的。攻擊者把一些包含攻擊代碼當做命令或者查詢語句發送給解釋器，這些惡意數據可以欺騙解釋器，從而執行計劃外的命令或者未授權訪問數據。注入漏洞通

5、常能在SQL查詢、LDAP查詢、OS命令、程序參數等中出現1.1.2 危害注入能導致數據丟失或數據破壞、缺乏可審計性或是拒絕服務。注入漏洞有時甚至能導致完全接管主機1.1.3 案例1.1.4 加固建議1.在網頁代碼中需要對用戶輸入的數據進行嚴格過濾。2.網絡中部署Web應用防火墻3.對所有用戶輸入字符進行轉義4.參數化查詢5.通過存儲過程預先定義并存放在6.對數據庫操作進行監控建議過濾出所有以下字符： 1 |（豎線符號） 2 & （& 符號） 3;（分號） 4 $（美元符號） 5 %（百分比符號） 6 （at 符號） 7 （單引號） 8 “（引號） 9 （反斜杠轉義單引號） 1

6、0 ”（反斜杠轉義引號） 11 <>（尖括號） 12 ()（括號） 13 +（加號） 14 CR（回車符，ASCII 0x0d） 15 LF（換行，ASCII 0x0a） 16 ,（逗號） 17 （反斜杠）1.2  A1-失效的身份認證和會話管理1.2.1 描述與認證和會話管理相關的應用程序功能往往得不到正確管理，這就導致攻擊者破壞密碼、密匙、會話令牌或利用實施漏洞冒充其他用戶身份。1.2.2 危害這些漏洞可能導致部分甚至全部帳戶遭受攻擊。一旦攻擊成功，攻擊者能執行合法用戶的任何操作。因此特權帳戶會造成更大的破壞。1.2.3 案例1.2.4 加固建議1、區分公共區域和受限

7、區域2、對最終用戶帳戶使用帳戶鎖定策略3、支持密碼有效期4、能夠禁用帳戶5、不要在用戶存儲中存儲密碼6、要求使用強密碼7、不要在網絡上以純文本形式發送密碼8、保護身份驗證 Cookie9、使用 SSL 保護會話身份驗證 Cookie10、對身份驗證 cookie 的內容進行加密11、限制會話壽命12、避免未經授權訪問會話狀態1.3 A3-跨站腳本1.3.1 描述跨站腳本是最普遍的web應用安全漏洞。當應用程序在發送給瀏覽器的頁面中包含用戶提供的數據，但沒有經過適當驗證或轉譯，就會導致跨站腳本漏洞。目前常見的3中XSS漏洞：1）存儲式；2）反射式；3）基于DOM。1.3.2 危害攻擊者能在受害者

8、瀏覽器中執行腳本以劫持用戶會話、迫害網站、插入惡意內容、重定向用戶、使用惡意軟件劫持用戶瀏覽器等等。1.3.3 案例1.3.4 加固建議1、區分公共區域和受限區域2、對最終用戶帳戶使用帳戶鎖定策略3、支持密碼有效期4、能夠禁用帳戶5、不要在用戶存儲中存儲密碼6、要求使用強密碼7、不要在網絡上以純文本形式發送密碼8、保護身份驗證 Cookie9、使用 SSL 保護會話身份驗證 Cookie10、對身份驗證 cookie 的內容進行加密11、限制會話壽命12、避免未經授權訪問會話狀態1.4  A4-不安全的直接對象引用1.4.1 描述所謂"直接引用不安全的對象"，即I

9、nsecure direct object references，意指一個已經授權的用戶，通過更改訪問時的一個參數，從而訪問到原本其并沒有得到授權的對象。Web應用往往在生成Web頁面時會用它的真實名字，且并不會對所有的目對象訪問時來檢查用戶權限，所以這就造成不安全的對象直接引用的漏洞。    我們看如下的一個示例，也許這樣就更容易理解什么是不安全的對象直接引用。 攻擊者發現他自己的參數是6065，即?acct=6065；  他可以直接更改參數為6066，即?acct=6066； &#

10、160; 這樣他就可以直接看到6066用戶的賬戶信息1.4.2 危害這種漏洞能損害參數所引用的所有數據。除非名字空間很稀疏，否則攻擊者很容易訪問該類型的所有數據。1.4.3 案例1.4.4 加固建議1.使用非直接的對象引用這防止了攻擊者直接訪問其并未授權的對象，通過一種mapping或是其他的方法讓攻擊者無法直接訪問。2.檢查訪問對每一個來自于不信任的源的直接對象引用都必須包含訪問控制檢查，從而確信該用戶對該對象擁有訪問權。1.5  A5-安全配置錯誤1.5.1 類型安全配置錯誤可以發生在一個應用程序堆棧的任何層面，包括平臺、Web服務器、應用服務器、數據庫、架構和自定義代

11、碼。攻擊者通過訪問默認賬戶、未使用的網頁、未安裝補丁的漏洞、未被保護的文件和目錄等，以獲得對系統未授權的訪問。1.5.2 危害系統可能在未知的情況下被完全攻破，用戶數據可能隨著時間推移而被全部盜走或者篡改。1.5.3 案例1.5.4 加固建議1.驗證你的系統的安全配置2.可使用自動化的安全配置向導；3.必須覆蓋整個平臺和系統；4.對所有組件都必須保證安裝了最新的補丁；5.完善分析變更帶來的安全影響6.對所有你做的安全配置進行記錄7. 使用自動化掃描工具對你的系統進行驗證。1.6  A6-敏感數據泄露1.6.1 類型保護與加密敏感數據已經成為網絡應用的最重要的組成部分。最常見的漏洞是應

12、該進行加密的數據沒有進行加密。使用加密的情況下常見問題是不安全的密鑰和使用弱算法加密。1.6.2 危害攻擊者能夠盜取或篡改機密的或私有的信息 攻擊者通過這些秘密信息而進行下一步的攻擊 造成企業聲譽破損，用戶滿意度下降，甚至會有法律訴訟等。1.6.3 案例1.6.4 加固建議1、刪除此類文件2、限制此類文件的訪問權限。1.7  A7-缺乏功能層次的訪問控制1.7.1 類型有時功能級的保護是通過系統配置管理的，當系統配置錯誤時，開發人員必須做相應的代碼檢查，否則應用程序不能正確的保護頁面請求。攻擊者就是利用這種漏洞訪問未經授權的功能模塊。1.7.2 危害攻擊者很容易就

13、把網址改成享有特權的網頁，這樣就可以使用匿名或普通用戶訪問未受保護的私人頁面，從而提升未授權功能和相關數據信息。1.7.3 案例1.7.4 加固建議導航欄中，如果沒有權限訪問的，就隱藏掉具體頁面中的按鈕也是這樣的處理方式，隱藏不要禁用（就是用戶不能操作的，就不要讓用戶看到）1.8  A8-跨站請求偽造1.8.1 類型跨站請求偽造CSRF，是利用了網站允許攻擊者預測特定操作的所有細節這一特點。由于瀏覽器自動發送會話cookie等認證憑證，導致攻擊者能夠創建惡意的web頁面來產生偽造請求。這些偽造的請求很難和合法的請求區分開。 CSRF聽起來像跨站腳本（XSS），但它與XSS不

14、同，并且攻擊方式幾乎相左。XSS利用站點內的信任用戶，而CSRF則通過偽裝來自受信任用戶的請求來利用受信任的網站。 1.8.2 危害攻擊者能夠讓受害用戶修改任何允許修改的數據，執行任何用戶允許的操作。例如修改密碼、登陸注銷等。1.8.3 案例1.8.4 加固建議1.對于重要操作，建議采用POST方法替代GET方法，可有效提高攻擊者利用的難度。 2.對于重要操作，建議在完成操作前給予用戶提示信息。 3.在服務器端增加Referer請求字段的驗證。1.9  A9-使用含已知漏洞的組件1.9.1 類型開發人員使用的組件也會含有漏洞，這些漏洞能夠被自動化工具發現和利用。然后攻擊者根

15、據需要定制攻擊代碼并實施攻擊。1.9.2 危害根據漏洞的級別，嚴重的可能造成主機被完全接管和數據泄漏。1.9.3 案例1.9.4 加固建議1、升級所采用的組件2、修改組件安全配置，降低攻擊所產生的危害1.10  A10-未驗證的重定向和跳轉1.10.1 類型應用程序經常將用戶重定向到其他網頁，或以類似的方式進行內部轉發。當目標網頁是通過一個未驗證的參數來指定時，就容易被攻擊者利用。攻擊者通過誘使受害人去點擊未經驗證的重定向鏈接，從而利用不安全的轉發繞過安全檢測。1.10.2 危害攻擊者通過重定向可以試圖安裝惡意軟件或者誘使受害人泄露密碼等敏感信息，通過轉發可以繞過訪問控制。1.10.

16、3 案例1.10.4 加固建議1.Referer的限制，確定傳遞URL參數進入的來源，保證該URL的有效性，避免惡意用戶自己生成跳轉鏈接2.加入有效性驗證Token，通過在生成的鏈接里加入用戶不可控的Token對生成的鏈接進行校驗，可以避免用戶生成自己的惡意鏈接從而被利用，但是如果功能本身要求比較開放，可能導致有一定的限制二. 主機層漏洞修復建議2.1 Windows2.1.1 類型Microsoft Windows是微軟發布的非常流行的操作系統。該系列各版本存在較多層面漏洞2.1.2 加固建議1.官方下載對應的補丁，更新修補2.禁用該漏洞所屬的服務3.修改系統安全配置，強化該服務安全功能4.

17、主機防火墻阻斷其端口或限制訪問源IP地址或地址段5.外部防火墻訪問控制6.隱藏信息版本，防止掃描探測2.2 Unix/Linux2.2.1 類型Linux Kernel是開放源碼操作系統Linux所使用的內核。該系列各內核及默認的服務存在較多漏洞2.2.2 加固建議1.官方下載對應的補丁，更新修補2.禁用該漏洞所屬的服務3.修改系統安全配置，強化該服務安全功能4.主機防火墻阻斷其端口或限制訪問源IP地址或地址段5.外部防火墻訪問控制6.隱藏信息版本，防止掃描探測2.3 Oracle2.3.1 類型Oracle Database是一款商業性質大型數據庫系統。過往該廠家定期會公布緊急補丁公告，同時

18、會修復多個漏洞2.3.2 加固建議1.官方下載對應的補丁，更新修補2.禁用該漏洞所屬的服務3.修改系統安全配置，強化該服務安全功能4.主機防火墻阻斷其端口或限制訪問源IP地址或地址段5.外部防火墻訪問控制6.隱藏信息版本，防止掃描探測2.4 Mysql2.4.1 類型Oracle MySQL Server是一個輕量的關系型數據庫系統。該類型因部分組件及版本較老，存在較多安全漏洞2.4.2 加固建議1.官方下載對應的補丁，更新修補2.禁用該漏洞所屬的服務3.修改系統安全配置，強化該服務安全功能4.主機防火墻阻斷其端口或限制訪問源IP地址或地址段5.外部防火墻訪問控制6.隱藏信息版本，防止掃描探測

19、2.5 SQL Server2.5.1 類型Microsoft SQL Server是一款流行的SQL數據庫系統。該系列過往版本中存在較多漏洞2.5.2 加固建議1.官方下載對應的補丁，更新修補2.禁用該漏洞所屬的服務3.修改系統安全配置，強化該服務安全功能4.主機防火墻阻斷其端口或限制訪問源IP地址或地址段5.外部防火墻訪問控制6.隱藏信息版本，防止掃描探測2.6 Tomcat/Apache2.6.1 類型Apache Tomcat是一個流行的開源JSP應用服務器程序。因版本較多，舊版本中存在較多安全漏洞2.6.2 加固建議1.官方下載對應的補丁，更新修補2.禁用該漏洞所屬的服務3.修改系統安全配置，強化該服務安全功能4.主機防火墻阻斷其端口或限制訪問源IP地址或地址段5.外部防火墻訪問控制6.隱藏信息版本，防止掃描探測2.7 Weblogic2.7.1 類型WebLogic包含多種應用系統集成方案，包括Server/Express/Integration等。因所使用的版本較老，管理控制臺存在部分漏洞2.7.2 加固建議1.官方下載對應的補丁，更新修補2.禁用該漏洞所屬的服務3.修改系統安