常见漏洞和解决方法

常见洞及其漏解决案1、方QLS入注漏洞漏描洞述SQL：入被广注泛用非法入侵网于站务器，获服取网站控权制。是它用层上应的种一全漏安。通洞在设常计存在陷的缺程中，对序户输入的用数没据做好过滤，有导致恶意户可以用造构一S些QL语句让服务去器执行，从而致导数据中库数的被据取窃篡，改删，除以，及一步导进服致务被器侵入危等。害SQ注L入攻的击式多方种样，较多见的常一种式是方提前终止原SLQ语句，然追后一加个新的QLS命令。为了整使构个的字符串符合造QSL语语句法，攻者常用注释标记如击“-”（-意注格空来终）后止的面SLQ字符串。行执时此后，文的本被忽略。如某将个网站的录验登证QSL查代码询str为QS=L"ESELT*CFRMOuesrsWERHEnmae=‘”+seurameN+“’napd=’”+pwassorWd+’””其，中surNemae和passoWrd是户输入用的参值数，用户可输入任何以字的符串如。果用户入输的userNaemad=in’m--pa，ssWrod空，则整为个SLQ语句为变ESELCT*FRMOsuersWHREEnaem’=dami’n-‘-adnpw=’，等价于S’ELCE*FRTMuOessrWERHEnmae’=amid’，将n过绕密码对的证，直验接获得adm以in的身登份系录统漏洞危害。：•据数信息泄库漏，如例人机个数密，帐户据数，密据等。码•删除盘硬数，破据坏整系统的运个。行•数据库务服器被攻击，系统管员理帐户被窜改（如ALTER例OLGINasWIHTPSSWARD='xxxOxx'）x。取•系得较高权限后统，可篡以网页改及进行以网站马。•挂由数据经库务服提供的器作操统系支，持让黑得以修客改控制操或作系统植入后，门程序例如xp（c_mdhselln"etsotpisidmia"可停止服n务的器IS服务）I。解方决案：•输入过，对滤整数，判断于变量是否合符[-09的值]；他限其值定也可以进行合，法校验；对性字于符串，对QLS句特殊语符字进转义(行引号单转两成单引号，双引号个成两个双转号)。M引ySQL也类似的转有义函数mysql_escap_sertignmysql和_rela_seapc_seritgn。As的p过滤参考此页面http/:bl/og.iis.setnn/zaim/rcaive/2h008/0/42/8filterin-gsl-inqejctoi-fronm-calsic-assp.asxp•在设计用应序时程，全使用参完化查数（询PrameaertzeiQdeuyr来）计设据访问数能功•。使其他用安全的更式连方接SLQ数据库。例已修如过正QSL注入问的题数据库接连件，组例如SA.NPET的qSDlataSourc对e或是LI象NQtoSL，Q全AP安库I如SEAP。I•用SQ使L防入注统。•系格限严数据制操库作权的。普通限户用与统系理管用户员权限要的严格有的分区。立建专的账户，门同时以加限权限，满足制应的需求用可即。2、THPTHOTS头攻部漏击洞述描 ：一般用通web序是程果想如知网站域道不是一名件单简事的情如果用，WORD格式编可辑一个固的定URI作为来域名会有各种烦麻。开人员一般发是依赖HTTPoHshtedaer（比如在php里是SER_EVR["TTH_HPSOT]），"这个h而eaedr多很情况是下靠不住的。很多而用是应直把这个接值做不hml编t便输码到出了面中，比页：如<lnkihref"=thpt://S_ERER[VHOS'']T"J(oolm)a还的地方还包有含sec有retek和yotkne<ah，er="hftt:/p/_ESVRE['ROHS'T?]tken=toposecret"(D>ango,jaGlelr,oyherts)这样理问题一处般很容易遭会到遇两常种的见攻：缓存击染和污码重置密缓。污染存是指击攻通者控制过个缓一系存统将一个来恶意站点页面的返回用给户。密码重这置种攻击要是主为因发给送用的内容是户以可染污，的也是说就可以间接劫的持邮发送内容件。参：ht考p://tdrospwooy.nu.rgopapers/138/3、3管后台漏理描述：洞由于ttph求请的特点，osthehaerd的其值实是可信不。的一唯信可的只有SREVR_EANME，这个在Aaphec和Ngnxi可以通里过设置个一虚机来拟记所录有的非法hoshtaede。在rgNixn里还可以通过定一个S指ERER_NAMEV单，名pAcahe也可以通过指一个定SRVEER_NAE名单M并开启UeCasnonicalNam选项e。建两种议法方时使用同。网站后管台系统理要主用是对网于站台前的信息管，如理文字、图、影片音、其和日他常用使文件的布发更新、、除等删操作同时，也包括会信员、息单订息信访、信息客的统和管理。将计管后台暴理在露外，网存一在定的安全风4险、户认用证信明息文输传洞描述漏尽量将管：后台理在放内。网并做好用的访户问限控制权，证保登密录的码杂性。用复认证信户不是息通过thtps加密信道传输，致用导户密名码等感信息泄露。敏解决案方以:httsp方传输此式检误测报可能性大，需要人较验工证。、5能可在存CSRF击攻漏洞描述：CSR是FCrossSieRtequsetorgFer的缩y写（缩也为写SXR），F译过来就直跨是站求伪请的意造，也就是在用户会话思下对个某CGI做一些EGT/OSPT事情—的这—事情用户未必些知和道愿意，做可你以它把做想TTH会P劫持。话解决方案在:eWb用应程侧防御序CRSF洞，一漏般都利是re用frere、toekn或者证验码jQurye是一个容兼浏览多的器jvaacsirtp库,经探，测被检测系统使用的jueryq版本存在XSS漏洞。详情请参看：htpt/:ma/.lajq/ureyxs_/sthpt/:/log.bqjeuyrc.om/2011/9001//qjuery--6-13-erelasd/6e、juQerXySS专技业术知识共享漏描述：洞jQeru是y个兼容一浏多器览的jvasaricpt,经库测，探被检系统使用测OWDR格式编辑可的jqurye版本存XSS在漏洞。情详参看：请ttp:h/m/.aaljque/yrxs_/shtp:t/b/lo.jg qure.yoc/2m11/09/01/0quejry--613-r-eealed/s解方决案：使用新版最的jq本uery7、发现eWb服务器默页认解决方面：案We在应b用序程侧御防CSRF漏洞一，般都利用re是eferrt、kone者或验码证发现ebW务器服r认页默，面果如该eb服务w不被器用使建议，关。8闭、务器服启O开TPOISN方法解方决案如果：该web服器不务使被用建，议闭关OTPIOS方法是N用请于求获得由eRuestqU-IR标识的资源请在/响应求通信的过中程以使可的用能功选项。通过个这法方，客端可以户在取具体采源资求请之，决前定对资该源采何取必种要措，或者施解服务器了性的能开启该。法方有能可漏泄一些敏信息，为攻感击者发起一步进击攻供提息信9、存在ebW务器默认服欢迎页面漏洞述：描议建关闭该功能Web该服器有务个一认的欢迎页默面如。果不使用这台你Web务服，器应它该禁用，被为它因能可会造成全威安。胁解方决案无：影，响如服务此器无ewb应用，议禁建用删除此页面。或10、跨站脚漏本（洞XSS/CSSC，rossSteicSritipn）漏洞描述gW：be序程没有对攻者击交的含有可执提代码行输的进行入效验有证在某页面返，给回问访该Web序程任意用户的，可能导致些代这码用户在的览浏解释执器行。若证后不能触发弹验框可，能是测试用例问的题，在ie、fi请rfex、choomre测下，试关闭并浏器自览带xs的s筛选测试器。Web点把用站户输的未入做滤过直接输就到页面出参，数中特的字殊符破了打HTLM面页原有逻辑，的黑可以利客该用洞执行任意漏TMHLJS/代码这。里说的用所户输包括用户入提的交ET、GPOTS参数，还包H含TPTefRerrr头e甚，至是户用的Cokoie跨站脚。类本包括型：1非持．久型XSS，也就反射是型XS，S目是前普遍的最跨站型。跨站类代码一存在于链般中接，求请这的样接时链跨站，码经代服务过端射回来，反类这跨的代码不站存储服到器段。务．持2久型XSS：这是危最直害接的跨类站型，跨站码存代于服储务（端如据库数中）。见情常况是用户某在坛发论，如果贴论没有过坛用户滤输入Ja的asvcirp代码数t据，专业技术知识享共OWRD格式可编辑就会致导其他览浏此的用贴的浏户览器会执行发人所贴入嵌Ja的avcsrpti代码。3．DMOXS：是一S发生在客户种端OM（DDocumetnObejtModce文l档象对型）DOM模一个是平台、编与程语无言的关口，接它允程许或脚序动本地态问访更新和文档容、内构结样式和处，理后结的能够果为显示页面成一的分部。OMD中有很多对象，其一些中用是户可操纵的，以如RIU，olctioa，rneferer等。户客端脚本程序的可通以过DOM动态检地和 查修改页内面，它不需要提交数容到据务服端器而，客户从端获得DOM中数的在据地本执，如果行DMO中数据没有经过的严格认确就，会产生DOXSMS洞漏4。．TF-7XSSU，指是由于没指定页有面编码导，致浏览器编码以将TFU-解析，形7成XS。5．MSHMTXSSL，漏原洞参见理：ttp://hwww8.0uvlcom/.ebziwne0_0x5/0x5I0E下MHMTL协带来的跨议危域害htm.l站跨本的危害：脚．1帐劫号-攻击持可以者在会话oockei过之前劫持期户的用会话并以用户，的限权行操作执如，布发数库据查并查询结看果。2．恶意脚执本行-户可能用不知情在情况的执行下击者注入到攻动生成页面中态的JvaacSirtpV、ScBript、cAtvie、HTMLX至甚laFsh容内。3．蠕传播-虫过通Ajxa用，与应SRCF漏洞结合，跨脚本站可以以类似于病的方毒传播式。跨脚站负载本可以动将自自身其入注到页中，面并通更多过的跨站脚轻本的易新重入同一注主机，而所这些有都需手无刷新动页。面此因，站跨脚本可以用复杂的使HTTP式方送发个请求，并以多户用不可的视式自我方播传。4．信息窃-攻击取者可通以过新重向和伪定造站将点户用接连攻到者击所选择的意服务恶器获并得用所户输入的何任信。息．拒绝服务-通5常攻击通者过包在含有站跨脚漏本的站点上使洞畸用的显示形请，就可求导致主机以点站复的反我查询，自出现绝拒务服的况。情6．浏览器新定重-向在些某用使帧的点上，用户可站在实能际已经上被新定重到向恶意点站的况下情导误仍为处原始站点在，上为因览权地浏址栏中的URL仍保持变不。这由是没有于重新定整个向面页而只，是行执aJavcSipt的r。帧7．控制用设置-攻户者可击以恶更意用户改设。解决方案置：．1对输入数严据匹配，比格如只受接字数入的就不能输入其输字他。不符要验仅数据证类的，还要型验证格其、长式度范围、和内。容2输．过滤，入该应服务器端进在。P行HP在设置maicg_uoqes_tgpc为On的时，会候动自转参数义的单中引号双但，这足不以于用SSX漏洞防御的，仍然要需代码在级别御防3。．出输编：码专技业术识知共享WRDO格式可辑编：用一输户入的参值会数现展在HTML文中正或属者性值中如：例1htm）l文正中<hrafe='http/:test.com/>U'-tnrutsdienput</a>2）属值：&性tl;ipuntnaem=s"earhcwod"ravlue"U=-ntursedtniupt"&g;t此需要将红色的时可信内不容做中如下转的(即码<>‘“将转`成hmt实l)体：-<-g&;<t>--&gt>;'--&gt';"-&g-;"t-`&-t;g(反引`号)二：户输用入在<s落ricp>t内的容，中如：<例crspi>…tvarmmsgy=Un"trust-deipntu;"avrinuUn=tru-setdinpu;t…<s/crpti>好不要最让户的用入输在<落cripst>用户输入/<s cript>里这如果，法无避的免话建议，严格制用户的限输，比入输入为整数如，时验要证输是入否包含只字数。输入为字当串符，时将符串字单引号用双或引号含起来，包且并对户的用入输符字中包含的单双号过引滤转或为换HMLT实体。．编码时使用4ESAI库P其或他antiss库x。5．针U对F-7TXS，S指应定网页字集符编码。用使C'ntonte-Tyep'头或&l;metta&t;g标记。6．对针MTHLMSS，X将url参数值的%0d中、%a、%0D、%0A0删除。格限严制URL参数入值输格式，不能的包含必要不的特字符（殊0、d%0a）等如确实。需换要行，其将转换为<rb输>。出1、1暗漏洞链述：暗链描这在里通的俗说网，站链接中的一，也称为黑种。如果再链俗的通一说点暗链”“就看是不的网站链接，“见暗”在链网中的站链做接的非隐蔽常，和它友链接情有相似之，处以可效有地高提P值。R黑取客得站控制网权，往往后通在过控被网站制的页放首置链暗从，而达到骗欺搜索引的擎效果，使得身自网搜索引站擎权重幅提大，在高索搜擎引的中名排大上幅。升但并这是无不代的价受到，损失大的最就是被控的制站网往往，着暗链随指所向网站的权的重不提高，存在断链暗的站网的重权将断下降不，索引擎排搜名必然一再下降，严重也影网响站的响力影另一方面黑客。往往放的置接链大为多服、博私彩色、情非等网站法链的接对，于暗链网站来被说这无，也疑着有巨的风险。解决大方案删：暗链除息信对系，统行彻底进的安全查检APS.ET用加密的方式N保敏护感息信，但APS.NE的加密实T现方式存在洞漏，可以解被，密以存在所息泄漏信的漏业技术知专识享共OWDR式可格编辑洞。12、SAPN.TE息泄漏漏信洞描：述SA.PNET于加由密充填证过验中程处理错误当不，致存导一个信息在披露洞漏。成利功此漏用的洞击攻者可以取服务器加读的数据，密如例视图状。态漏此还洞以可用数于篡改，据果如功利用，成可于解用和密篡改务器加密服的据数虽。然击者无攻利法此用洞来执漏行代码或直接提他们的用升户限，但此漏洞可用权产于信息，生这信些可用于息图进试步危一及影响系受的安统。全解决方：安案装软的微MS100-07丁。补InetrntIenorfmtionaServciesII（，S互联信网息服）务是由微软公司提的供基于行M运icorsofWintdwso互联网基本的服。务1、3iMroscofIISt文件枚举洞漏洞描漏：述MicorofsItIS在现上实在存文枚举漏洞，件击攻可利用此漏者洞举枚网络服器务目录根的中件文。解决方案目：厂前商经发已了升布补级以丁复修个这安问题，请全厂商的主页到下载：thpt//w:w.micwrosof t.cm/tecohen/tesucrtiy/htpt://ethnce.ticrosomf.tco/enmus/li-barry/c9c53529a.spx检测误此可能报性较大，需人要验证。工1、C4RF漏S洞述描CS：FR是roCsSstieequResFtrgeory的缩写（也写为缩XSRF）直，过译就是来跨站请求造的意伪，也思是就用户在话会下对某个CIG一些做GE/TPOTS的事情——些事这用情未必户道和知愿做，意可以你把想它做THPT会话劫。持解决方案：在Wbe应程序侧用防御CSRF漏洞，一都是利用r般feree、rotkne者或证验测试发现码WEB程序存在文件上功能传，件上传可文会存能在大重的全隐患，安在定情况特下导会致攻者上传执击任意行代码15、H。TTPOHST头部击攻漏洞描述：般通用一ebw序是程如想知道果站域名网不一件简单是事的情如，果用一个固定的RUI来作为名会有各种麻烦域。开人员发般一依赖是HTPTHsotehaerd比如（在pph里_是SREVE[RHTTP_"OHS"]），而这个Theaerd很多情况下是靠不住。而很多应用的直是接这个值不把做thlm编码便输到出了页面，比中：<如linhrkf="htetp:/_SE/RVRE[HOST''"]Jo(mloa)还有的地方包含有还ecrsteeky和toke，n<aher=fh"tp:t//_SEVRR[EHO'T'S?t]oekn=tpsocree"t>(DjnaogG,lalry,otheesr)专业技术知共享识ORDW格可式编这样辑理问处题般一很会容易遇到遭两常种的攻击见缓：污染和存密重置。码缓污存是指染击者通攻控制过一个缓存系统将一来个恶站意的点页面回返给用。户密重置这码种击攻主是要为因发给用户送的内是容可污以的，也染就是说以间接的可劫邮持发件内送容。参：考thpt://rodp.sooywu.orngpape/r/13s38解决案方：由于http请求的点，h特otshaedre的值其是不可实信。的唯一信的可只有SEVRR_NAEE，这M在个paAce和hNgnix里以可过设置一通个拟机虚记录所来有的非法hothesdaer在。Ngnix里可还以通过指一个定SERVE_RNMEA名单，Apache也可以过通指一定S个RVEE_RANM名单E开并U启esaCnnioalcNmae项。选建议两方种同时法用使。检测误报此可能较性，需要人工大证。验16、ODMXSS漏洞描述：发在客生户端DMODocu（emntOjbctMoede文l对档象型）D模M是O个与一平台、编程语无关的言接口，它许程序允或脚本态地访问动更新和文档内、结容构和样，处理式后结的果能够为显成页示的面部分一D。OM中有很多象，对中其一些用是户可以纵的，操u如R，lIoacion，rteefTelr等客。户端的脚程本序可通以过DOM动地态检查和修改页面容内它，需不要交提数据到服器务，而从端客端户获得DOM中数的在本据执行，如地果DMO中的数没有经据严格确认，就过产会生DMXSSO洞漏决解方：案.对1输数据严入匹配格比，如接受数只字入的就不能输输其入他字符。不要 仅验证数的据型，还类验要其格证式长度、范、围和内。容2.输入过，滤该在应务器服进行。端PP在H置设mgic_qautes_gopc为n的O候，时会自动转义数参中的单双号引，但不足以这于用XS漏洞的防御S仍然，需要代码在级防御。别.输3编出，一：码户输入的用数参会值展在现HMLT文正或者属中性值例如中：1）hmt正l文中ahr<ef='tht:/pt/et.cso'mU>nt-rutsdeinptu/a><）属2值：<性npituanm=e"esarchowd"ravule"=n-Uruttsedniptu>"此需时要红将的色可信内不容做中如的下转(码将<>‘“`转即ht成ml实体)：<--&g;<>--tgt&;>'--&gt';--"&gt";`--&gt`(;引号反)：二用输户落入<sc在rit>的p容中例内:如<srcit>p…vrmamys="Ugnt-ursedtniupt;"arvinuU=nt-usrteinpdtu;…</sriptc>最好要不让户用输的入落在<csirpt用>输入</sc户irt>这里，p如无法避果的话，建免议格限严用制的户入输比，输入如为整数时要，验证入输否只是含包数。当字入为字输符串，将时符字串单用号或双引号包含引起，并且来用户的对输入字符包含中的双引单过滤或号转为换THML体。专业实术知识技共W享ROD格式可编辑4.码时使用编ESAPI库其或他atnixss。库jQueyr是一个兼容浏览器的多ajasvrcitp库,经探，测检被测系统用的使jquery本存在XS版S漏。洞情请详参看：thpt//:am.la/qujer_yss/htxp://btog.lqujeyrc.om2/10/19/01/jqu0eyr1---6-3relaese/d17、pAcaehomTact本版于低.1.374漏描述：更洞新AacpehoTmca到t新最本版漏洞该是通过本版探号的测，能可在存误报。该本Apa版heTcocam存t在多安处漏全洞请，新到更新版本。C最EV-020-01882,VC-2E080-1322,VEC-0280-273参考0h：tp://cte.vscap.rgo.n/cCEV-020-8108.html2ttph/:c/vescap.o.g.crn/CE-V028-0213.h2mlhtttp:/c/evsca..opr.gncC/EV-02802-70.3tmhl决方案：解更新ApahceomcatT最新到本1版、8目录览浏漏描洞：述件信息文、感敏信的息露泄为进，一步的对针性攻提供击信了如：息ww.abw.cco/matadbacukp/若存目在录浏，则数览库据备文份件暴就露可任被下意载解决方：你必须确案此目录中保不包敏含感信息。可以在We服务b配置器限中制录目列。建议修表正所用使的Web服务软件的器录目权设置限。如，在例IIS中取目录消浏：览在ngnxi取消中目浏览：录掉配去置件里文的面目浏录览：项utaiondeon;在apxache中取消目浏览：录在pAahe配c置文中的目录件配中的“置Indxees”删或者改除为-In“dexes”现发设定的敏感键字信息关19、发敏感现键关字漏描述：发洞设现的敏感关键定信息字解决案：方用认户证息信是不过通ttphs加信密道传，导输致用户密码等敏感名信息露。泄0、2WEBADV开启漏洞描述：WebDAV是种一基于THTP.11协议的信协通.它议展了扩 HTTP1.1在，GE、TPSO、HETAD等个H几TT标准方P法以外添了一些加新的法。使方用程序应直接对We可berSevr直读接写并支，持写文件锁(定ocLikn)及解锁(Ugnlcok)，可以还持文件的版支控制。本开启当了WeDAVb，并且后配了目置录写可，会产生便很严重安全问的。题1禁用WeDbA。V业技术专知共识享WRO格D式可辑编2如果要使用WeDbAV的，加上话权限验。证OPTION方S法是于请用求获由得Rqueets-UR标I识资的在源请求响应的通/过程信可以中用使的能功项。通过这个选法，方户客可以端采在取体具源资求请前之，决定该对资采源何取种要措必施或者，解服务了器性能的。启开方法该有能可泄漏些敏感信息，一攻击者发为进起步攻一击提信息。供决解方案建：关议闭该功能1、2用户证信息认文传输明漏洞描：用述户证认信息是不通htt过ps密信道传输，导加致用名户码密敏等感信息露。解决泄方案：以thts方p式传输检测此误可报性较大能，要人工需证验。2、ApacheS2rtuts类加载安器绕全过漏洞洞漏描述A：acphetSrtus框架是一一个个于基JavaSevlets,JrvaaeaBn,和savJaSerevrPaes(JgS)的PeWb用框架的应源开项。A目pcaheStutrs存安全在过漏绕，洞攻者利用击洞漏绕过些安某限制和执行未全经授权操作。的考参h：tp:t/w/w.cwvdn.og.rc/nfaw/lhsowCNV/-D024-012720决方案：下载解丁进补行修：复http:/s/rtus.taachpeo.gr/23、Cokieo有没置设tHptnlyOOOKIE的HTTPOnlCfyagl没有置设，对于多只很赖于依cooike验证的网来说站，HttpnOylcooieks是个很一的解好方案，决在支持ttHOnlpcooyikes的览浏中器I（6E以上，FF.0以3上，）jvascriapt无法读是和取修改ttpHOnycookile，s样可让网这用站验证户更加安解决全方：尽案能可给cookie上加HTPTOln属性y24、现文件发上传点洞描漏述WEB：序存程在文上传件功，能文上传件能可会在重大的存全安患隐在，特定况情下会导致攻击者上执行任意传代码。52、存在似疑XSS漏洞述：Web站描把用户的点输未入做过滤就接输直到出页面参数中，特的字符打殊破了HTML页的面有逻辑，黑客可原利用以该洞执行任漏意TML/JSH代码这。里所说的户输入包用用括户交的G提T、EPOTS参数，包含还HTTRefPererr头，至是用户甚的Cokoie。跨站本脚的危害1：.号帐持-攻劫者可击以会话coo在ie过k期前之劫持户用的会，并以用话的户权执限行专技业术知识共享ORW格D式可辑编操作，如发数布库查询并查看据结果。2.意脚本恶行执-用可户能不知情在情况下执行攻击者注的到动态生入页面中的成JavaScipt、VBrcSrpitActiveX、、TMLH至甚laFhs内。3容.虫蠕播-通过传jaxA 应用与，SRFC漏洞结，合站脚跨本以以类可似于病的毒式方传。跨站脚播负本可以自动将载自身其注到页面中入并通，更过多的站跨本脚轻易重新注的同入一主机而，所这有些都无手需刷动新面。页因此跨，脚本站可以用使杂的复HTPT式方发送多个求，并请以用不可户视的式自我方播。传.4息信窃取攻-者击以通过重可新向定伪和站点将用造连接户到攻击所选者择恶的服意务器并得用户获所输的任入信何。息5.拒服绝务通-常攻者击通过在包有含跨脚站本洞漏站的点上用使畸形显示的求请就，可导致主以机站点反复自我的询，查现出拒服绝的情况。务6.浏器览重定向新在某些-使帧的用点上站，户可用能实在际上已被重新定向到恶经意站的点情下误况导仍处在原始站为上点，为因览权地浏址中栏的ULR仍保不变持。这是由没于重有新向定个页面整而，是只行执avJaScrip的帧t。.控7用户制设-攻置击可者恶以更意改户设用置。解方决案:1对.入输数严格匹据，配如比接只数受字入输就不的输入能他其字符。不要仅验证数的据型，类要验证其格式还长度、、范和围内容。2输.过入滤应，在该务器端进行服。PHP设在置mgiacquotes__pc为gOn时候的，会自动义参数中的转单引号双，但不足这用以X于SS洞漏的御防，仍需然在代要级别码防。3.御出输码，一：用户编输的参入数值会现展在HMLT正文中者属或值性中例如：）1tml正文h<中aref='hhtpt/:t/est.oc'm>U-tnrsutedniutp/<a2>属）值性&：tl;npitnuame=s"aechwrord"valeu="Unt-urstednput"i&g;此t需时将红要色的不可信容内中如做下转码(的将<>即‘“转`成hmlt实体：)<-&-t;<>-g>>-'--&t;g"-'&-gt";-->``反(引号)26、敏文感泄件露漏洞危害例：备如文份件打包、件、系统接文口保密、档文、管后理台这文件些能会泄可漏一些感信敏息，助帮恶意户准用备进步攻击。解决一案:在生产方统中删系除限制或问这访些件文；户用证信认不息通是h过ttsp密加信传道，输致用户名导码密等敏感信息泄露。以https式方输此检测误传可能性报大较需要人工验证，。7、2意页面任跳漏转描洞述：eW应用b程序接收用到户提交的RLU参数，后有没对参做“可信数任RL”U的验证，就向用户浏览返器回跳转到该RLU的指令，例如：业专技术识知共享OWR格D可编辑式htp:/tww/wa.bccom/.erdriet.docu?r=wlw.hwcaekr.cm危害o被用：实来施鱼钓攻击决方解:限制案转跳名或对域转进跳验行，证如白单名，黑名限制单，带上或otek参n。发数设现定敏感的键字信关息28、TUF7-SXS漏描洞述指：于由有没定指面页编，码导浏览器致编码将以UTF-7 解析形，X成S。S解决案：方指应定网字页符编集码使用'C。ontne-tyTe'p头或&lt;etam&tg;标记29J、so劫持漏洞n洞描述：漏JONS(avJacSiprtbOjcteotatiNn)o一种是轻级量的据交数换式。易于人格读阅编和写。同也时于机器解易和生成。析但是果这种如交互的方式来用传递敏的数感据，并且传的时候输有做太多没安全控制的话将导致性安漏洞，全根敏感信息的据同导致不会导致用应遭不同受别的级攻。击解决方：1案rfereer来源的限，利用前端制refeer的不可伪造性来r障请求数保的据用来应于源可信的地，某方些况情下如存（在xss可）能致被绕导。过2token加入，的利用token对调用者身份进行的认证，这方种对于式调用者的份会身求力要度细较，是一但出旦现ssx可也导能前致端Tkon的e泄，从露而致导保护失。效3、0Ngin远程x全安漏洞漏洞害：危CEVC:VE2-1032-07CNN0DVCN:VN-2D03051-25ngin3x是一款由罗斯俄程员序IgorSyosve所开轻发量级的页服网器务反、代向服务理以及器电邮子件（MAIPPO/P）代理服3务。器Ning中存x远程在安全洞。攻漏者可击用利该漏洞造成拒服务或绝获得敏信息感。解决方案：目前厂商经已布了升发级补丁以修复此安全问题，补丁获取链：接thpt//:ginxnorg/3.1、ginnURIxPocessirng安绕过全漏洞漏危洞害：CE:VVCE2013-4-574NCNDV:NCND-20V3111-33ngi6nx俄是斯软罗开件发者IorSgsoevy所研发的款一THPT和向反理代服器务也，以可作为件代理服邮务器。gnixn.084.至11.4.3版和本1.57之前.的.5.x版本1中存在安漏洞全，程序验证当请求URIs包含未转义的格字符时存在空误错。远程攻击者可利用该洞绕漏既过定的制限解。决方案：目厂前已商经布发了级补升丁以修此复安全问题，补丁取获链接：tth://mailmap.nningx.og/ripermpil/nganixan-ounne/2c13/000120.5htl专业m术技知识共享WROD格式可编辑32、giNn‘xacces.logs不安全文’权件限洞漏漏危洞：C害E:CVE-2V130-033C7NVND:NCVD-N21032-0530ngixn多平是的H台TTP服务和器件邮代服务理。器ginxN中的cacess.ogl中存不在安全件文权漏洞限。本攻地者击用该利洞漏获得问访到全可读局日志的文件限权进从而中取敏感提息信，息信的获得助于有他其击攻。解方案：决33、网地址内息泄信露漏.危洞：害现页发存面内网在地信址息泄风险露可，会对进一能步黑客的攻击提供息。信解方决：外网案产生境去除内网地址环息。信43、SSL3vOPODL漏洞E漏危洞害这个：漏和洞之的前B.EA.S..T(BowsrreEplxitAoginsatSLSTL)非S相似，常但目是前没有可还的解决办法靠除，完全禁用非SLS3v的支持。简单的说 ，攻者可获取击你密流中加明的文数。据解方决：案pAchae在Apahec的SSL置中禁配用SSL3和vSSv3L：SSLrPtocooall-lSSLv-2SLvS3gNinx在gNnxi只允使许用TSL议：s协l_psorotoclTLsvST1SL1v.1TLSv12.;3、5paAhecTTPHSeverr绝拒服务漏漏洞危洞害：该漏洞通过版本号是探的，可能测存误在报pacheAHTPSTrvere是一开款源流行的的HTPTD服程务.序处理包含当量大Ranesg的头HTPT请求，时BteyaRneg过滤存器在个一错，攻击误者可以服向器发务送特制HTPT求，消请大耗量内存造，成应用序程崩溃VCE-2011-1923解决方案更新A：pchae到新版本最http:/h/ttpd.paahe.orcg/<>p63、击劫点：缺少持X-Fram-eptOiosn头漏洞害：危Cilkcjcaikgn点击（劫）持由互联是网安专家罗全伯特·森汉和耶米·利格劳斯曼20在08首创年的是一种视。欺骗觉段手在，we端b就是irame嵌f套一个业专技知识共享术WROD格式可编辑透不明见可页面的让，用户在不知的情情况下点，击击者攻想欺要用骗户击点位置的。务器服端没返有回XFra-meO-pitosn头部，导致该点存在站点劫持击击攻的威胁。X-ramFeO-tipnsoTHP响应头，T以指示浏可器览是应否该载加个一ifame中的页r面。网站以可过设通X-置Fare-mptionOs止阻点站内的面被其他页页面嵌入而防从止击点劫持。果您如确不定需要网站内将容入其他嵌站中，请开启点项。选决解案方在：站配置文点件tthd.confp中添如加下置，配限制只站点内有的页面可才以入嵌ifrma。eeHaderawalysapenpdX-Frae-OmtiopsnSAEMRIGOIN置之配后重a启pace使其h生效。配置方式对该IBHMTPSeTrver同适样。用如果同一aapce服h务上有器个多点，只想站对针个站一进点配置，可以修改行.tachecss文件，加添如内下容：Hederaapendp-XRAME-FOTIPOSN"SAMEOIGINR到"ninxg/ocfn文夹件下修改，ngni.coxf，添n如下内容加：addheaderX_-FrameO-tiopnsS"AMORIEIG";N启重Ngin服x。务37、wndowsIiIHSTT.SYP远程S代漏码洞漏洞害：在4月危的丁日补，软通过微记标“为危高的”M1S5-304补丁，修复了HTTP.SSY中一处远程代码洞漏CV-2E15-1063。5微据软公告http（s//t:cenhtem.irocsfot.ocm/ne-su/lirbray/ecursiy/MS15-t03）4所称当存在该漏洞，的THTP服器务接收到精构心造的TTHP求请，可能触发远程代时码在标系目以统统权限执系。行这是对服于器务统影响不系的安小全洞漏，任何安装微软了II6S.0以上的的WindosSewrver2008R/2Srveer2012S/rveer0221R2及以Winodsw78//.81操作系统受都这个到洞的影响。漏解决方：案尽快装安微软官方补丁（地址：httsp//:techetnmicr.soft.oomczh-/n/lcibrrya/sceuity/Mr1S503-4）补。安丁装完毕后，要及重时启务器。服38 、lFash域跨问访漏洞害：c危orsdsoaimn.mlx是一个略策件，定义文We页b资面源否能是不从同域Flash的应程用序进访问行当。ebW站的点roscdsmoani.xlm策略宽太容例如，（许任允何域的lasF文h件访问点站源）时，资产生问题会。可能会致“跨站导点伪请造求或”“站点跟踪”跨（跨“点站脚本制编的”变体之）的攻类击。决解方：案请设置crossdmoia.nxml文件中alolw-acess-frcmo实的体odman属i性包括特定来域名，而不是何域。任专技术业知识共享