知网互联发现很多朋友在挑选网站公司时,会因为网站建设成本相对比较低廉,选择个人网站制作或小公司。一般网站建设公司技术不成熟的话,会导致网站制作的代码混乱,漏洞百出!挂木马,收录不了,跳转到非法网站等。
从而公司网站无法正常使用,客户流失,信誉受损!网站被迫重新设计,得不偿失!
下面广州网站建设公司-深圳网站制作公司-知网互联专业13年网站设计供应商从技术上分析网站建设安全构成及危害系数:
第1章 概述
第2章 门户网站建设现有问题和漏洞
2.1. 主机漏洞列表 3
2.1.1. 192.168.100.27 3
2.1.2. 192.168.100.21 3
2.2. 门户网站应用系统漏洞列表 5
第3章 门户网站主机服务器加固措施 6
3.1. 192.168.100.27 6
3.2. 192.168.100.21 6
第4章 门户网站应用系统加固措施 7
4.1. 漏洞1:敏感信息泄漏 7
4.2. 漏洞2:已解密的登陆请求 7
4.3. 漏洞3:XSS跨站脚本攻击 7
4.4. 漏洞4:Robots.txt 文件 Web 站点结构暴露 8
4.5. 漏洞5:隐藏目录泄露 9
第5章 门户网站整体安全防护建议 10
第6章 风险的应对措施 11
第1章 概述
安全加固服务是实现网络安全、信息系统安全的关键环节,通过该服务,协助学校进行系统和应用组件加固,消除存在的各种安全隐患,确保系统和应用及时更新,先于黑客的攻击进行加固,提高安全性。
安全加固服务具体是根据风险评估结果,制定相应安全加固方案,针对特定的加固对象,通告打补丁、升级应用程序软件、修改安全配置、完善安全策略等方法,合理进行安全性修复和加强,安全加固的主要目的是消除与降低安全隐患,尽可能修复已发现的安全漏洞,尽可能避免安全风险的发生。
10月16日广州市网络与信息中心安全通报中心通报贵司存在敏感信息泄漏安全隐患,需对门户网站的安全隐患进行排查和修复。经我公司进一步排查,存在高、中危漏洞的情况及相应加固措施和整体安全防护建议,附后。
为确保安全加固工作能够顺利进行并达到安全加固目标,安全加固应尽量规避加固工作中可能的风险,最终保证加固工作的顺利进行,确保信息系统的安全稳定运行。
第2章 门户网站现有问题和漏洞
本安全加固方案只针对发现的高、中危漏洞进行安全加固,低危漏洞暂不进行。
2.1. 主机漏洞列表
2.1.1. 192.168.100.27
序号
漏洞名称
漏洞级别
1
FTP 口令猜测
高危险
2
Oracle MySQL Server 远程安全漏洞(CVE-2014-0386)
中危险
3
Oracle MySQL Server 远程拒绝服务漏洞(CVE-2014-0401)
中危险
4
Oracle MySQL Server 远程拒绝服务漏洞(CVE-2014-0402)
中危险
5
Oracle MySQL Server 拒绝服务漏洞(CVE-2014-0412)
中危险
2.1.2. 192.168.100.21
序号
漏洞名称
危险级别
1
Oracle数据库Listener组件安全漏洞(CVE-2010-0911)
高危险
2
Oracle数据库服务器Core RDBMS组件安全漏洞(CVE-2011-2239)
高危险
3
Oracle数据库服务器Core RDBMS组件安全漏洞(CVE-2011-2253)
高危险
4
Oracle数据库服务器UIX组件安全漏洞(CVE-2011-0805)
中危险
5
Oracle Database Server远程安全漏洞(CVE-2011-0831)
中危险
6
Oracle数据库服务器Database Vault组件安全漏洞(CVE-2011-2238)
中危险
7
Oracle数据库服务器Job Queue组件安全漏洞
中危险
8
Oracle数据库CMDB metadata & Instance APIs组件安全漏洞
中危险
9
Oracle Database Server远程安全漏洞(CVE-2011-0876)
中危险
10
Oracle数据库服务器Core RDBMS组件安全漏洞(CVE-2011-0838)
中危险
11
Oracle数据库Instance Management组件安全漏洞(CVE-2011-0879)
中危险
12
Oracle Database Server远程安全漏洞(CVE-2011-2232)
中危险
13
Oracle数据库服务器Core RDBMS组件安全漏洞(CVE-2011-0832)
中危险
14
Oracle数据库Java虚拟机组件安全漏洞(CVE-2010-0866)
中危险
15
Oracle数据库服务器Spatial组件安全漏洞
中危险
16
Oracle Database Server远程安全漏洞(CVE-2011-2257)
中危险
17
Oracle数据库服务器权限许可和访问控制漏洞(CVE-2008-6065)
中危险
18
Oracle数据库服务器Change Data Capture组件SQL注入漏洞
中危险
19
Oracle Database Server远程安全漏洞(CVE-2011-0870)
中危险
20
Oracle数据库服务器Core RDBMS组件安全漏洞(CVE-2011-2230)
中危险
21
Oracle数据库Oracle OLAP组件安全漏洞(CVE-2010-0902)
中危险
22
Oracle数据库服务器Database Vault组件安全漏洞(CVE-2010-4421)
中危险
23
Oracle数据库Security framework组件安全漏洞(CVE-2011-0848)
中危险
24
Oracle数据库服务器Core RDBMS组件远程安全漏洞(CVE-2011-0880)
中危险
25
Oracle数据库服务器Core RDBMS组件安全漏洞(CVE-2011-0835)
中危险
26
Oracle数据库Java虚拟机组件安全漏洞(CVE-2010-0867)
中危险
27
Oracle数据库服务器Scheduler Agent组件安全漏洞
中危险
28
Oracle数据库XML Developer Kit组件安全漏洞(CVE-2011-2231)
中危险
29
Oracle Database Server远程安全漏洞(CVE-2011-2244)
中危险
30
Oracle数据库服务器Java虚拟机组件安全漏洞
中危险
2.2. 门户网站应用系统漏洞列表
序号
漏洞名称
漏洞级别
1
敏感信息泄漏
高危险
2
已解密的登陆请求
高危险
3
XSS跨站脚本攻击
高危险
4
Robots.txt 文件 Web 站点结构暴露
中危险
5
隐藏目录泄露
中危险
第3章 门户网站主机服务器加固措施
3.1. 192.168.100.27
Ø 对于FTP口令猜测漏洞,建议排查各FTP弱口令账号,加强口令强度,并定期修改口令。
Ø 对于Oracle MySQL Server 远程安全漏洞、Oracle MySQL Server 远程拒绝服务漏洞,建议升级Oracle数据库补丁,补丁获取链接:
http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html。
3.2. 192.168.100.21
需升级oracle数据库补丁,需升级的各补丁获取链接见下:
http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html
http://www.oracle.com/technetwork/topics/security/cpujul2010-155308.html
http://www.oracle.com/technetwork/topics/security/cpuapr2011-301950.html
http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html
http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html
http://www.oracle.com/technetwork/topics/security/cpuapr2010-099504.html
http://www.oracle.com/technetwork/topics/security/whatsnew/index.html
第4章 门户网站应用系统加固措施
4.1. 漏洞1:敏感信息泄漏
漏洞名称
敏感信息泄漏
危险级别
高危险
漏洞URL
漏洞描述
页面中显示数据库查询语句,造成数据库名和其他敏感信息泄漏。由于程序在编写时没有过滤错误信息,导致这些信息暴露在前端,这可能会被攻击者加以利用。
加固建议
严格过滤报错信息,使这些信息不显示在前端,或不管是什么类型的错误仅显示一种固定的错误信息。
4.2. 漏洞2:已解密的登陆请求
漏洞名称
敏感信息泄漏
危险级别
高危险
漏洞URL
漏洞描述
检测到将未加密的登录请求发送到服务器。由于登录过程中所使用的部分输入字段(例如:用户名、密码、电子邮件地址、社会安全号等)是个人敏感信息,这可能会被攻击者加以利用。
加固建议
1、采用HTTPS协议;
2、使用MD5加密对用户名/密码等敏感信息进行加密,确保敏感信息以加密方式传给服务器。
4.3. 漏洞3:XSS跨站脚本攻击
漏洞名称
XSS跨站脚本攻击
危险级别
高危险
漏洞URL
漏洞描述
跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意的攻击者将对客户端有危害的代码放到服务器上作为一个网页内容, 使得其他网站用户在观看此网页时,这些代码注入到了用户的浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击,攻击者可窃会话cookie从而窃取网站用户的隐私。
加固建议
对全局参数做html转义过滤(要过滤的字符包括:单引号、双引号、大于号、小于号,&符号),防止脚本执行。在变量输出时进行HTML ENCODE 处理。
4.4. 漏洞4:Robots.txt 文件 Web 站点结构暴露
漏洞名称
Robots.txt 文件 Web 站点结构暴露
危险级别
中危险
漏洞URL
漏洞描述
Web 服务器或应用程序服务器是以不安全的方式配置的
加固建议
[1] robots.txt 文件不应用来保护或隐藏信息
[2] 您应该将敏感的文件和目录移到另一个隔离的子目录,以便将这个目录排除在 Web Robot 搜索之外。如下列示例所示,将文件移到“folder”之类的非特定目录名称是比较好的解决方案:
New directory structure:
/folder/passwords.txt
/folder/sensitive_folder/
New robots.txt:
User-agent: *
Disallow: /folder/
[3] 如果您无法更改目录结构,且必须将特定目录排除于 Web Robot 之外,在 robots.txt 文件中,请只用局部名称。虽然这不是最好的解决方案,但至少它能加大完整目录名称的猜测难度。例如,如果要排除“sensitive_folder”和 “passwords.txt”,请使用下列名称(假设 Web 根目录中没有起始于相同字符的文件或目录):
robots.txt:
User-agent: *
Disallow: /se
Disallow: /pa
4.5. 漏洞5:隐藏目录泄露
漏洞名称
隐藏目录泄漏
危险级别
中危险
漏洞URL
漏洞描述
检测到服务器上的隐藏目录。403 Forbidden 响应泄露了存在此目录,容易被黑客收集信息结合其他攻击对服务器进行入侵。
加固建议
可对禁止的资源发布“404 - Not Found”响应状态代码,或者将其完全除去。建议,在IIS设置对403状态的错误页面指向404。
第5章 门户网站整体安全防护建议
Ø 对主机进行安全基线检查并对薄弱项进行加固;
Ø 对主机服务器操作系统、FTP、数据库、应用系统、网络设备、安全设备等设置强口令策略,并定期修改口令;
Ø 主机服务器安装防病毒软件,并及时进行病毒库升级,定期进行病毒查杀;
Ø 部署WEB应用防护系统(如果无),加强对门户网站等互联网应用系统安全防护;
Ø 购买SSL证书服务,将门户网站HTTP访问方式改为HTTPS安全加密方式访问;
Ø 将门户网站接入政府网站综合防护系统(网防G01)进行云安全监测与防护。
第6章 风险的应对措施
为防止在加固过程中出现的异常状况,所有被加固系统均应在加固操作开始前进行完整的数据备份;
安全加固时间应尽量选择业务可中止的时段;
加固过程中,涉及修改文件等内容时,将备份源文件在同级目录中,以便回退操作;
安全加固完成后,需重启主机,因此需要学校安排相应的人员协助进行加固;
在加固完成后,如果出现被加固系统无法正常工作,应立即恢复所做各项配置变更,待业务应用正常运行后,再行协商后续加固工作的进行方式。