Categories


Tags


常见网站安全漏洞处理方法

htaccess文件可读

修改apache配置文件httpd.conf

AccessFileName  .htaccess

发现PHPINFO信息泄露漏洞

一般是网站目录下放置了phpinfo函数文件,删除phpinfo.php

Tomcat示例文件未删除

删除tomcat默认站点下的index.jsp

PHPSESSID已知会话确认攻击

apache环境在根目录下建立.htaccess文件,设置

<IfModule php5_module>

php_value session.cookie_httponly true

</IfModule>

iis7及以上环境在根目录下建立web.config文件,设置

<?xml version="1.0"?>

<configuration>

<system.web>

<httpCookies httpOnlyCookies="true"  />

</system.web>

</configuration>

Flash配置不当漏洞

修改根目录crossdomain.xml,将domain中的域名更换成自己的域名,多个域名可以写多行

<?xml version="1.0"?>

<cross-domain-policy>

<allow-access-from domain="*.test1.com" />

<allow-access-from domain="*.test2.com" />

</cross-domain-policy>

跨站脚本Xss漏洞/sql注入漏洞/代码执行漏洞

asp程序

1.下载http://downinfo.myhostadmin.net/vps/asp.zip

2.解压后,将文件放到公共文件(如数据库的连接文件)所在目录

3.在公共文件页面中加入代码

<!--#include file="waf.asp"-->

php:

1.下载http://downinfo.myhostadmin.net/vps/360webscan.zip

2.解压后,整个文件夹放到网站根目录

3.在网站的一个公用文件(如数据库的连接文件)中加入代码:

if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){

require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');

} // 注意文件路径

常用PHP建站系统的公用页面

PHPCMS :      \phpcms\base.php

PHPWIND:     \phpwind\conf\baseconfig.php

DEDECMS:     \data\common.inc.php

Discuz:           \config\config_global.php

Wordpress:    \wp-config-sample.php

ECshop:         \data\config.php

Metinfo:         \include\head.php

HDwiki:          \config.php

Swfupload.swf跨站脚本攻击漏洞

http://downinfo.myhostadmin.net/vps/swfupload.swf.zip

下载压缩包解压替换Swfupload.swf,替换前备份自己的文件

以下是swfupload的源码文件,如果你自己有开发能力,也可以自己重新编译打包

http://downinfo.myhostadmin.net/vps/swfupload.swf.rar

其他一些开源程序漏洞

请联系程序官方更新升级补丁至最新版

来源:西部数码


Public @ 2020-09-11 15:37:17

关于域名到期删除规则实施的说明

关于域名到期删除规则实施的解释:国际域名:(1) 到期当天暂停解析,如果在72小时未续费,则修改域名DNS指向广告页面(停放)。20天左右,可以联系商务自主续费。续费后,系统自动恢复原来的DNS,刷新时间大概是24-48小时。(2) 25-60天,域名处于赎回期(Redemption),此期间域名无法管理,需手工赎回!(3) 60天以后,域名被彻底删除,可以重新注册。国内域名:(1) 到期当天暂停

Public @ 2015-04-26 15:45:23

新站4个月,新手做网站经验总结

我,一个小小的90后草根站长,14年年底接触建站,到现在刚刚半年多。半年来,做了三个网站,前两个由于种种原因相继夭折,不再多提,现在一直在运营的网站,域名是创建于2015年3月2日,加上备案时间,做了差不多4个月的时间,简短的4个月,让我学习到了很多知识,也涨了很多见识。知道博客界有一个大拿叫卢松松,是草根站长的榜样。松松博客也一直是我关注的博客,本职工作一直很忙,晚上10点才下班,每天晚上都会抽

Public @ 2018-02-11 16:17:24

网站安全风险及应对方案

网站安全风险及应对方案包括: 1. 数据泄露风险:网站可能被黑客攻击、入侵或者员工的疏忽而导致敏感数据泄露。应对方案包括定期进行安全漏洞扫描和测试,使用防火墙和入侵检测系统来保护网站,加密敏感数据存储和传输,并对员工进行安全意识培训。 2. DDOS攻击风险:分布式拒绝服务(DDOS)攻击可能导致服务器停止响应,使网站无法正常运行。应对方案包括使用流量分析工具监测网络流量,配置网络边界设备以过

Public @ 2023-07-31 17:50:57

网站安全风险及应对方案

网站安全风险包括以下几个方面: 1. 网络攻击风险:包括黑客攻击、DDoS攻击、SQL注入攻击、跨站脚本攻击等。 2. 恶意软件风险:包括病毒、木马、恶意广告等。 3. 数据泄露风险:包括账号密码泄露、个人隐私泄露等。 4. 网站服务可用性风险:包括服务器宕机、网站崩溃等。 针对上述风险,可以采取以下措施进行应对: 1. 防范网络攻击:采用防火墙、安全认证协议、访问控制等技术手段,来防

Public @ 2023-06-26 11:50:35

更多您感兴趣的搜索

0.511102s