Categories


Tags


常见网站安全漏洞处理方法

htaccess文件可读

修改apache配置文件httpd.conf

AccessFileName  .htaccess

发现PHPINFO信息泄露漏洞

一般是网站目录下放置了phpinfo函数文件,删除phpinfo.php

Tomcat示例文件未删除

删除tomcat默认站点下的index.jsp

PHPSESSID已知会话确认攻击

apache环境在根目录下建立.htaccess文件,设置

<IfModule php5_module>

php_value session.cookie_httponly true

</IfModule>

iis7及以上环境在根目录下建立web.config文件,设置

<?xml version="1.0"?>

<configuration>

<system.web>

<httpCookies httpOnlyCookies="true"  />

</system.web>

</configuration>

Flash配置不当漏洞

修改根目录crossdomain.xml,将domain中的域名更换成自己的域名,多个域名可以写多行

<?xml version="1.0"?>

<cross-domain-policy>

<allow-access-from domain="*.test1.com" />

<allow-access-from domain="*.test2.com" />

</cross-domain-policy>

跨站脚本Xss漏洞/sql注入漏洞/代码执行漏洞

asp程序

1.下载http://downinfo.myhostadmin.net/vps/asp.zip

2.解压后,将文件放到公共文件(如数据库的连接文件)所在目录

3.在公共文件页面中加入代码

<!--#include file="waf.asp"-->

php:

1.下载http://downinfo.myhostadmin.net/vps/360webscan.zip

2.解压后,整个文件夹放到网站根目录

3.在网站的一个公用文件(如数据库的连接文件)中加入代码:

if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){

require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');

} // 注意文件路径

常用PHP建站系统的公用页面

PHPCMS :      \phpcms\base.php

PHPWIND:     \phpwind\conf\baseconfig.php

DEDECMS:     \data\common.inc.php

Discuz:           \config\config_global.php

Wordpress:    \wp-config-sample.php

ECshop:         \data\config.php

Metinfo:         \include\head.php

HDwiki:          \config.php

Swfupload.swf跨站脚本攻击漏洞

http://downinfo.myhostadmin.net/vps/swfupload.swf.zip

下载压缩包解压替换Swfupload.swf,替换前备份自己的文件

以下是swfupload的源码文件,如果你自己有开发能力,也可以自己重新编译打包

http://downinfo.myhostadmin.net/vps/swfupload.swf.rar

其他一些开源程序漏洞

请联系程序官方更新升级补丁至最新版

来源:西部数码


Public @ 2020-09-11 15:37:17

gov.cn域名注册说明

中华人民共和国的.gov.cn是一个特殊的主域名,只能供政府机关(包括部省级政府机关、政府职能部门、党派团体和各级人民政府及其派出机构、民政社会团体等)注册,普通企业、个人不可注册。 以上政府机关希望注册.gov.cn域名的,需要准备注册材料和办理流程: 一、注册材料: 1、机构的企业法人营业执照副本; 2、政府机关工作人员身份证复印件,以及特许经营许可证(如有); 3、机构准备发布

Public @ 2023-03-02 17:48:34

为什么有些网站前面不加 WWW?

2008年以前,我的blog可通过http://linglingfa.com和http://www.linglingfa.com分别访问。而2008年的时候,无论我通过哪个域名访问,都将转向到后者上,就是域名前面多了一个 “www”。大约07年前,Michael F Liu就号召大家把域名前面的www去掉,我深以为然。好域名都被瓜分光了,大家手里的域名都老长老长的,我的账号(linglingfa.

Public @ 2012-03-16 16:00:28

网站安全制度和内容管理经验分享

很多站长认为在网站被黑这件事上,网站方面只能被动挨打。但搜房网运维总监马彦杰告诉百度站长平台,在网站安全运维工作中,制度安全也是重要一环。即网站从产品设计层面出发,设计一套用于防范恶意行为、最大程度降低人为风险的安全管理制度,以保证数据和网站安全。同时,电缆网(www.cableabc.com)SEO团队负责人林晋仰也向我们介绍,电缆网经历过一次被黑后,老板对网站安全问题相当重视,除了加大技术资金

Public @ 2018-05-07 15:37:14

服务器中病毒/木马解决方案

1、修改系统管理员账户的密码,建议密码长度不小于8位并且使用大写字母/小写字母/数字/特殊字符组合。2、修改远程登录端口,开启防火墙限制允许登录的 IP 地址,防火墙只开放特定的服务端口。建议对 FTP,数据库等这些不需要对所有用户开放的服务进行源IP访问控制。3、检查是否有开放了未授权的端口,如果有,关闭未授权的端口。Windows 操作系统在 CMD 命令行输入 netstat /ano 检查

Public @ 2010-01-10 15:37:16

更多您感兴趣的搜索

0.489521s