网站常见的安全漏洞

一般项目在验收之前都会有专业的机构进行安全漏洞扫描，下面是这些天碰到的几个常见的中高危漏洞安全。

 

1、跨站点脚本编制

漏洞描述:

“跨站点脚本编制”攻击是一种隐私违例，可让攻击者获取合法用户的凭证，并在与特定 Web 站点交互时假冒这位用户。 

这个攻击立足于下列事实：Web 站点中所包含的脚本直接将用户在 HTML 页面中的输入（通常是参数值）返回，而不预先加以清理。 如果脚本在响应页面中返回由 JavaScript 代码组成的输入，浏览器便可以执行此输入。 因此，有可能形成指向站点的若干链接，且其中一个参数包含恶意的 JavaScript 代码。 该代码将在站点上下文中（由用户浏览器）执行，这使得该代码有权访问用户在该站点中具有访问权的 cookie，以及站点中其他可通过用户浏览器访问的窗口。

攻击依照下列方式继续进行：攻击者诱惑合法用户单击攻击者生成的链接。 用户单击该链接时，便会生成对于 Web 站点的请求，其中的参数值含有恶意的 JavaScript 代码。 如果 Web 站点将这个参数值嵌入在响应的 HTML 页面中（这正是站点问题的本质所在），恶意代码便会在用户浏览器中运行。

脚本可能执行的操作如下：

[1] 将用户的 cookie（针对合法站点）发送给攻击者。

[2] 将可通过 DOM（URL、表单字段等）访问的信息发送给攻击者。

 

结果是在易受攻击的站点上，受害用户的安全和隐私受到侵害。

修复建议:

若干问题的补救方法在于对用户输入进行清理。

通过验证用户输入未包含危险字符，便可能防止恶意的用户导致应用程序执行计划外的任务，例如：启动任意 SQL 查询、嵌入将在客户端执行的 Javascript 代码、运行各种操作系统命令，等等。

建议过滤出所有以下字符：

   [1] |（竖线符号）

   [2] & （& 符号）

   [3];（分号）

   [4] $（美元符号）

   [5] %（百分比符号）

   [6] @（at 符号）

   [7] '（单引号）

   [8] "（引号）

   [9] \'（反斜杠转义单引号）

   [10] \"（反斜杠转义引号）

   [11] <>（尖括号）

   [12] ()（括号）

   [13] +（加号）

   [14] CR（回车符，ASCII 0x0d）

   [15] LF（换行，ASCII 0x0a）

   [16] ,（逗号）

   [17] \（反斜杠）

修复方式:

对传递的参数进行验证，可使用正则表达式来处理，

Pattern pattern = Pattern

.compile("[`~!@#$%^&*()+=|{}':;',\"\\[\\].<>/~！@？#￥%……&*（）——+|{}【】‘；：”“’。，、SELECT]");

还有，一般像这种xss漏洞，喜欢窃取别人的cookie，这个也可以检测一下url中是否存在cookie字样

 

2、目录列表

漏洞描述:

        Web 服务器通常配置成不允许目录列表含有脚本和文本内容。不过，如果 Web 服务器配置不当，便有可能发送对于特定目录（而不是文件）的请求来检索目录列表。名称为“some_dir”的目录，其目录列表的检索请求示例如下：http://TARGET/some_dir/

        利用 Web 服务器和 Web 应用程序中会强迫 Web 服务器返回目录列表的特定问题，例如“URL 诡计”攻击，或形态异常的 HTTP 请求，是另一个获取目录列表的可能方式。您应该从应用程序或服务器供应商下载补丁，以解决这些安全漏洞。

        在某些运行于 Win32 操作系统的 Web 服务器中，使用短文件名（8.3 DOS 格式）可以略过访问控制。

        例如，Web 服务器会拒绝浏览 /longdirname/ 目录，但它的 DOS 8.3 对等名称 /LONGDI~1/ 却开放浏览。

        注意：攻击者使用目录列表来查找 Web 目录中，通常不通过 Web 站点上的链接显现出来的文件。配置文件及可能含有敏感信息的 Web 应用程序其他组件，都可以利用这个方式来查看。

修复建议:

1. 将 Web 服务器配置成拒绝列出目录。

2.  根据 Web 服务器或 Web 应用程序上现有的问题来下载特定安全补丁。部分已知的目录列表问题列在这个咨询的“引用”字段中。

修复方式:

此处我采用的容器是jetty，所以可以直接修改一下配置，在webdefault.xml文件中，将dirAllowed属性值由true设置为false即可

<init-param>

      <param-name>dirAllowed</param-name>

      <param-value>false</param-value>

</init-param>

 

3、启用了不安全的 HTTP 方法

漏洞描述:

可能原因

Web 服务器或应用程序服务器是以不安全的方式配置的

技术描述

 

似乎 Web 服务器配置成允许下列其中一个（或多个）HTTP 方法（动词）

- DELETE

- SEARCH

- COPY

- MOVE

- PROPFIND

- PROPPATCH

- MKCOL

- LOCK

- UNLOCK

- PUT

这些方法可能表示在服务器上启用了 WebDAV，可能允许未授权的用户对其进行利用。

修复建议:

如果服务器不需要支持 WebDAV，请务必禁用它，或禁止不必要的 HTTP 方法（动词）。

修复方式:

在nginx中 关闭WebDav，只允许GET 和 POST请求

location / {

                    proxy_pass              http://127.0.0.1:8080;

                    proxy_set_header        X-Real-IP $remote_addr;

                    proxy_set_header        X-Forwarded-For $proxy_add_x_forwarded_for;

                    proxy_set_header        Host $http_host;

                    limit_except GET POST { 

                              deny  all; 

                    } 

}