漏洞等级 漏洞危害 解决方案 高危 历史遗留后门代表此系统已经被攻击者入侵,并留下后门方便下次入侵。 删除后门文件。 1.1.14远程部署漏洞
漏洞名称 漏洞等级 漏洞危害 远程部署漏洞 高危 远程部署漏洞属于服务器中间件配置问题,攻击者可通过远程部署漏洞获取系统权限,远程部署漏洞经常出现在Tomcat,JBoos,WebLogic等Web容器之上。 解决方案 重新配置Web容器。 1.1.15系统弱口令
漏洞名称 漏洞等级 漏洞危害 远程部署漏洞 高危 攻击者可以通过系统弱口令轻易进入任意系统,严格意义上来讲并不是程序代码的问题,而是管理人员的安全意识较低。 解决方案
加强密码措施。 1.2中危漏洞
1.2.1 列目录漏洞
漏洞名称 漏洞等级 漏洞危害 解决方案 列目录漏洞 中危 攻击者可通过列目录漏洞轻松发现网站敏感文件。 关闭Web容器(如IIS/Apache等)的目录浏览功能: IIS中关闭目录浏览功能:在IIS的网站属性中,勾去“目录浏览”选项,重启IIS。 Apache中关闭目录浏览功能:打开Apache配置文件httpd.conf,查找”Options Indexes FollowSymLinks”,修改为“ Options -Indexes”(减号表示取消),保存退出,重启Apache。 1.2.2 CGI信息泄露漏洞
漏洞名称 漏洞等级 漏洞危害 CGI信息泄露漏洞 中危 该信息泄露会暴露服务器的敏感信息,使攻击者能够通过泄露的信息进行进一步入侵。 解决方案
升级到最新版本 1.2.3 IIS短文件名信息泄露漏洞
漏洞名称 IIS短文件名信息泄露漏洞 漏洞等级 中危 漏洞危害 攻击者可以利用“~”字符猜解或遍历服务器中的文件名,或对IIS服务器中的.Net Framework进行拒绝服务攻击。 解决方案 如果你的web环境不需要asp.net的支持你可以进入Internet 信息服务(IIS)管理器 --- Web 服务扩展 - ASP.NET 选择禁止此功能。 升级net framework 至4.0以上版本. 1.2.4 服务器环境探针
漏洞名称 漏洞等级 漏洞危害 服务器环境探针文件 中危 该信息会导致网站的大量架构信息泄露,有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。 解决方案 删除检测出的服务器环境探针文件。 1.25 日志信息文件
漏洞名称 漏洞等级 漏洞危害 日志信息文件 中危 该文件包含的错误信息会导致网站的一些架构信息泄露,该信息有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。 解决方案 删除检测出的日志信息文件。 1.2.6 JSP示例文件
漏洞名称 漏洞等级 漏洞危害 JSP示例文件 中危 该文件的弱口令会导致网站的大量架构信息泄露,该信息有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。 解决方案 删除检测出的JSP示例文件。 1.3低危漏洞
1.3.1 网站程序调试信息
漏洞名称 漏洞等级 漏洞危害 网站程序调试信息 低危 页面上存在数据库信息,例如数据库名、数据库管理员名,该信息有助于攻击者更全面了解网站的架构,降低攻击难度。 解决方案 关闭网站程序的调试机制,这个机制经常被用于网站的测试调试,该机制能显示出很详细的网站报错信息。 1.3.2后台登陆地址
漏洞名称 漏洞等级 漏洞危害 后台登陆地址 低危 攻击者经常使用这个地址进行网站的后台登陆,比如弱密码、表单绕过、暴力破解等,从而得到网站的权限。 解决方案 将后台登录地址隐藏,改个不容易猜到的路径。 配置好后台登录地址的访问权限,比如只允许某个IP或IP段的用户访问。
1.3.3 服务端统计信息
漏洞名称 漏洞等级 漏洞危害 服务端统计信息文件 低危 该文件会导致网站的一些架构信息泄露,有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。 解决方案 删除检测出的服务端统计信息文件。 1.3.4 敏感目录
漏洞名称 漏洞等级 漏洞危害 敏感目录 低危 该信息有助于攻击者更全面了解网站的架构,为攻击者入侵网站提供帮助。 解决方案 这些目录经常用于存放敏感的文件,可以考虑从网站目录中分离出,或改个不易猜测到的路径,并配置好访问权限。 1.3.5内容泄露漏洞
漏洞名称 漏洞等级 内容泄露漏洞 低危
相关推荐:
loading