您選的網站制作公司安全嗎?
時間: 2018-10-24 分享新聞到
從而公司網站無法正常使用,客戶流失,信譽受損!網站被迫重新設計,得不償失!
下面廣州網站建設公司-深圳網站制作公司-品拓互聯專業13年網站設計供應商從技術上分析網站建設安全構成及危害系數:
第1章 概述
第2章 門戶網站建設現有問題和漏洞
2.1. 主機漏洞列表 3
2.1.1. 192.168.100.27 3
2.1.2. 192.168.100.21 3
2.2. 門戶網站應用系統漏洞列表 5
第3章 門戶網站主機服務器加固措施 6
3.1. 192.168.100.27 6
3.2. 192.168.100.21 6
第4章 門戶網站應用系統加固措施 7
4.1. 漏洞1:敏感信息泄漏 7
4.2. 漏洞2:已解密的登陸請求 7
4.3. 漏洞3:XSS跨站腳本攻擊 7
4.4. 漏洞4:Robots.txt 文件 Web 站點結構暴露 8
4.5. 漏洞5:隱藏目錄泄露 9
第5章 門戶網站整體安全防護建議 10
第6章 風險的應對措施 11
第1章 概述
安全加固服務是實現網絡安全、信息系統安全的關鍵環節,通過該服務,協助學校進行系統和應用組件加固,消除存在的各種安全隱患,確保系統和應用及時更新,先于黑客的攻擊進行加固,提高安全性。
安全加固服務具體是根據風險評估結果,制定相應安全加固方案,針對特定的加固對象,通告打補丁、升級應用程序軟件、修改安全配置、完善安全策略等方法,合理進行安全性修復和加強,安全加固的主要目的是消除與降低安全隱患,盡可能修復已發現的安全漏洞,盡可能避免安全風險的發生。
10月16日廣州市網絡與信息中心安全通報中心通報貴司存在敏感信息泄漏安全隱患,需對門戶網站的安全隱患進行排查和修復。經我公司進一步排查,存在高、中危漏洞的情況及相應加固措施和整體安全防護建議,附后。
為確保安全加固工作能夠順利進行并達到安全加固目標,安全加固應盡量規避加固工作中可能的風險,最終保證加固工作的順利進行,確保信息系統的安全穩定運行。
第2章 門戶網站現有問題和漏洞
本安全加固方案只針對發現的高、中危漏洞進行安全加固,低危漏洞暫不進行。
2.1. 主機漏洞列表
2.1.1. 192.168.100.27
序號
漏洞名稱
漏洞級別
1
FTP 口令猜測
高危險
2
Oracle MySQL Server 遠程安全漏洞(CVE-2014-0386)
中危險
3
Oracle MySQL Server 遠程拒絕服務漏洞(CVE-2014-0401)
中危險
4
Oracle MySQL Server 遠程拒絕服務漏洞(CVE-2014-0402)
中危險
5
Oracle MySQL Server 拒絕服務漏洞(CVE-2014-0412)
中危險
2.1.2. 192.168.100.21
序號
漏洞名稱
危險級別
1
Oracle數據庫Listener組件安全漏洞(CVE-2010-0911)
高危險
2
Oracle數據庫服務器Core RDBMS組件安全漏洞(CVE-2011-2239)
高危險
3
Oracle數據庫服務器Core RDBMS組件安全漏洞(CVE-2011-2253)
高危險
4
Oracle數據庫服務器UIX組件安全漏洞(CVE-2011-0805)
中危險
5
Oracle Database Server遠程安全漏洞(CVE-2011-0831)
中危險
6
Oracle數據庫服務器Database Vault組件安全漏洞(CVE-2011-2238)
中危險
7
Oracle數據庫服務器Job Queue組件安全漏洞
中危險
8
Oracle數據庫CMDB Metadata & Instance APIs組件安全漏洞
中危險
9
Oracle Database Server遠程安全漏洞(CVE-2011-0876)
中危險
10
Oracle數據庫服務器Core RDBMS組件安全漏洞(CVE-2011-0838)
中危險
11
Oracle數據庫Instance Management組件安全漏洞(CVE-2011-0879)
中危險
12
Oracle Database Server遠程安全漏洞(CVE-2011-2232)
中危險
13
Oracle數據庫服務器Core RDBMS組件安全漏洞(CVE-2011-0832)
中危險
14
Oracle數據庫Java虛擬機組件安全漏洞(CVE-2010-0866)
中危險
15
Oracle數據庫服務器Spatial組件安全漏洞
中危險
16
Oracle Database Server遠程安全漏洞(CVE-2011-2257)
中危險
17
Oracle數據庫服務器權限許可和訪問控制漏洞(CVE-2008-6065)
中危險
18
Oracle數據庫服務器Change Data Capture組件SQL注入漏洞
中危險
19
Oracle Database Server遠程安全漏洞(CVE-2011-0870)
中危險
20
Oracle數據庫服務器Core RDBMS組件安全漏洞(CVE-2011-2230)
中危險
21
Oracle數據庫Oracle OLAP組件安全漏洞(CVE-2010-0902)
中危險
22
Oracle數據庫服務器Database Vault組件安全漏洞(CVE-2010-4421)
中危險
23
Oracle數據庫Security Framework組件安全漏洞(CVE-2011-0848)
中危險
24
Oracle數據庫服務器Core RDBMS組件遠程安全漏洞(CVE-2011-0880)
中危險
25
Oracle數據庫服務器Core RDBMS組件安全漏洞(CVE-2011-0835)
中危險
26
Oracle數據庫Java虛擬機組件安全漏洞(CVE-2010-0867)
中危險
27
Oracle數據庫服務器Scheduler Agent組件安全漏洞
中危險
28
Oracle數據庫XML Developer Kit組件安全漏洞(CVE-2011-2231)
中危險
29
Oracle Database Server遠程安全漏洞(CVE-2011-2244)
中危險
30
Oracle數據庫服務器Java虛擬機組件安全漏洞
中危險
2.2. 門戶網站應用系統漏洞列表
序號
漏洞名稱
漏洞級別
1
敏感信息泄漏
高危險
2
已解密的登陸請求
高危險
3
XSS跨站腳本攻擊
高危險
4
Robots.txt 文件 Web 站點結構暴露
中危險
5
隱藏目錄泄露
中危險
第3章 門戶網站主機服務器加固措施
3.1. 192.168.100.27
? 對于FTP口令猜測漏洞,建議排查各FTP弱口令賬號,加強口令強度,并定期修改口令。
? 對于Oracle MySQL Server 遠程安全漏洞、Oracle MySQL Server 遠程拒絕服務漏洞,建議升級Oracle數據庫補丁,補丁獲取鏈接:
http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html。
3.2. 192.168.100.21
需升級oracle數據庫補丁,需升級的各補丁獲取鏈接見下:
http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html
http://www.oracle.com/technetwork/topics/security/cpujul2010-155308.html
http://www.oracle.com/technetwork/topics/security/cpuapr2011-301950.html
http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html
http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html
http://www.oracle.com/technetwork/topics/security/cpuapr2010-099504.html
http://www.oracle.com/technetwork/topics/security/whatsnew/index.html
第4章 門戶網站應用系統加固措施
4.1. 漏洞1:敏感信息泄漏
漏洞名稱
敏感信息泄漏
危險級別
高危險
漏洞URL
漏洞描述
頁面中顯示數據庫查詢語句,造成數據庫名和其他敏感信息泄漏。由于程序在編寫時沒有過濾錯誤信息,導致這些信息暴露在前端,這可能會被攻擊者加以利用。
加固建議
嚴格過濾報錯信息,使這些信息不顯示在前端,或不管是什么類型的錯誤僅顯示一種固定的錯誤信息。
4.2. 漏洞2:已解密的登陸請求
漏洞名稱
敏感信息泄漏
危險級別
高危險
漏洞URL
漏洞描述
檢測到將未加密的登錄請求發送到服務器。由于登錄過程中所使用的部分輸入字段(例如:用戶名、密碼、電子郵件地址、社會安全號等)是個人敏感信息,這可能會被攻擊者加以利用。
加固建議
1、采用HTTPS協議;
2、使用MD5加密對用戶名/密碼等敏感信息進行加密,確保敏感信息以加密方式傳給服務器。
4.3. 漏洞3:XSS跨站腳本攻擊
漏洞名稱
XSS跨站腳本攻擊
危險級別
高危險
漏洞URL
漏洞描述
跨站腳本攻擊(Cross-site scripting,通常簡稱為XSS)發生在客戶端,可被用于進行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。 惡意的攻擊者將對客戶端有危害的代碼放到服務器上作為一個網頁內容, 使得其他網站用戶在觀看此網頁時,這些代碼注入到了用戶的瀏覽器中執行,使用戶受到攻擊。一般而言,利用跨站腳本攻擊,攻擊者可竊會話COOKIE從而竊取網站用戶的隱私。
加固建議
對全局參數做html轉義過濾(要過濾的字符包括:單引號、雙引號、大于號、小于號,&符號),防止腳本執行。在變量輸出時進行HTML ENCODE 處理。
4.4. 漏洞4:Robots.txt 文件 Web 站點結構暴露
漏洞名稱
Robots.txt 文件 Web 站點結構暴露
危險級別
中危險
漏洞URL
漏洞描述
Web 服務器或應用程序服務器是以不安全的方式配置的
加固建議
[1] robots.txt 文件不應用來保護或隱藏信息
[2] 您應該將敏感的文件和目錄移到另一個隔離的子目錄,以便將這個目錄排除在 Web Robot 搜索之外。如下列示例所示,將文件移到“folder”之類的非特定目錄名稱是比較好的解決方案:
New directory structure:
/folder/passwords.txt
/folder/sensitive_folder/
New robots.txt:
User-agent: *
Disallow: /folder/
[3] 如果您無法更改目錄結構,且必須將特定目錄排除于 Web Robot 之外,在 robots.txt 文件中,請只用局部名稱。雖然這不是最好的解決方案,但至少它能加大完整目錄名稱的猜測難度。例如,如果要排除“sensitive_folder”和 “passwords.txt”,請使用下列名稱(假設 Web 根目錄中沒有起始于相同字符的文件或目錄):
robots.txt:
User-agent: *
Disallow: /se
Disallow: /pa
4.5. 漏洞5:隱藏目錄泄露
漏洞名稱
隱藏目錄泄漏
危險級別
中危險
漏洞URL
漏洞描述
檢測到服務器上的隱藏目錄。403 Forbidden 響應泄露了存在此目錄,容易被黑客收集信息結合其他攻擊對服務器進行入侵。
加固建議
可對禁止的資源發布“404 - Not Found”響應狀態代碼,或者將其完全除去。建議,在IIS設置對403狀態的錯誤頁面指向404。
第5章 門戶網站整體安全防護建議
? 對主機進行安全基線檢查并對薄弱項進行加固;
? 對主機服務器操作系統、FTP、數據庫、應用系統、網絡設備、安全設備等設置強口令策略,并定期修改口令;
? 主機服務器安裝防病毒軟件,并及時進行病毒庫升級,定期進行病毒查殺;
? 部署WEB應用防護系統(如果無),加強對門戶網站等互聯網應用系統安全防護;
? 購買SSL證書服務,將門戶網站HTTP訪問方式改為HTTPS安全加密方式訪問;
? 將門戶網站接入政府網站綜合防護系統(網防G01)進行云安全監測與防護。
第6章 風險的應對措施
為防止在加固過程中出現的異常狀況,所有被加固系統均應在加固操作開始前進行完整的數據備份;
安全加固時間應盡量選擇業務可中止的時段;
加固過程中,涉及修改文件等內容時,將備份源文件在同級目錄中,以便回退操作;
安全加固完成后,需重啟主機,因此需要學校安排相應的人員協助進行加固;
在加固完成后,如果出現被加固系統無法正常工作,應立即恢復所做各項配置變更,待業務應用正常運行后,再行協商后續加固工作的進行方式。
<下一篇:素質教育VS應試教育!>
粵公網安備 44010602006226號
