2. 程式人生 > >WEB和主機漏洞處理總結

WEB和主機漏洞處理總結

阿新 發佈:2018-12-27

近日隨著專案越來越高的等保要求,對程式碼安全和系統本身安全要求越來越高,以下就近日專案上遇到的由第三方公司掃描出來的漏洞處理辦法進行一個總結。

1.IIS短檔案和資料夾洩漏漏洞

處理辦法(一):
禁用windows系統中的短檔名功能。
開啟登錄檔並開啟此目錄 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem
修改 NtfsDisable8dot3NameCreation 的值為1 。
修改完成後,需要重啟系統生效。
處理辦法(二):
Windows Server 2008 R2
查詢是否開啟短檔名功能:fsutil 8dot3name query
關閉該功能:fsutil 8dot3name set 1
Windows Server 2003
關閉該功能:fsutil behavior set disable8dot3 1

2.禁用TRACE 和 TRACK HTTP方法

處理辦法:
1.開啟IIS管理工具,找到授權規則功能(如果沒有此功能,請在角色功能中安裝全部的安全功能項)
這裡寫圖片描述
2.允許中填寫需要的請求方法,如POST、GET
這裡寫圖片描述
注:此方法適用於任何訪問方法的禁用和啟用。

3.檢測到遠端主機終端服務使用了安全級別較低的加密方式

處理辦法:
這裡寫圖片描述

4.跨站指令碼攻擊,點選劫持

處理辦法:
這裡寫圖片描述

相關推薦

WEB主機漏洞處理總結

近日隨著專案越來越高的等保要求,對程式碼安全和系統本身安全要求越來越高,以下就近日專案上遇到的由第三方公司掃描出來的漏洞處理辦法進行一個總結。 1.IIS短檔案和資料夾洩漏漏洞 處理辦法(一): 禁用windows系統中的短檔名功能。 開啟登錄檔並開

Ubuntu下更改終端上顯示的使用者名稱主機名的總結

Ubuntu下更改終端上顯示的使用者名稱和主機名的總結 當我們安裝Ubuntu時,有一步會設定使用者名稱,可能當時隨意就設定了,但是過一段時間之後我們不滿意這個主機名和使用者名稱了,或者你的使用者名稱是你的名字,在寫博文或者論文時截圖終端命令會暴露個人資訊或者顯得不得體等等

總結】spark按文本格式Lzo格式處理Lzo壓縮文件的比較

spark lzotextinputformat1、描述spark中怎麽加載lzo壓縮格式的文件2、比較lzo格式文件以textFile方式和LzoTextInputFormat方式計算數據,Running Tasks個數的影響 a.確保lzo文件所在文件夾中生成lzo.index索引文件 b.以

Apache訪問控制Web虛擬主機

處理 erro 網站服務 ocs 目錄 創建用戶 2.x 創建 1.2 一、httpd服務的訪問控制 可對特定的網站目錄添加訪問授權,對客戶機地址限制、用戶授權做限制;兩種控制方式都應用與httpd.conf配置文件中的目錄區域<Directory 目錄位置>

Java byte資料轉換處理總結

一.byte和int相互轉換的方法 java程式或Android程式的socket資料傳輸,都是通過byte陣列,但是int型別是4個byte組成的,如何把一個整形int轉換成byte陣列,同時如何把一個長度為4的byte陣列轉換為int型別。 /** * int到byte[]

python網路爬蟲(web spider)系統化整理總結(二):爬蟲python程式碼示例(兩種響應格式:jsonhtml)

        上一篇部落格(入門知識篇),對爬蟲有了一個基本的瞭解,但是具體怎麼實現一個爬蟲程式呢?         一般情況下,我們在瀏覽器獲取資訊,是

機器學習(5)特征值的處理總結缺失值的處理

com http 數據處理 src mage 編碼 pandas ima nbsp 數值型數據處理的方式:1,歸一化 2,標準化

1129 webwap端發版後--部分頁面存在安全漏洞

提交 dep scripting .sql about yun 功能 lsp 攻擊 0181129 web版本部分頁面存在安全漏洞 1.SQL 註入例如在查詢功能,輸入分號 感嘆號 分號 豎杠 ‘ ! ; | 搜索時,響應結果不正確,應該與圖二的響應結果一致

Web安全漏洞問題總結

1 問題描述 [步驟] 例如經銷商id =57029,在後臺通過投放抓包到投放介面,並篡改介面資料,可以給經銷商id =57024 新增廠商 = 東風乘用車 的投放需求(57024的經銷商並沒有主營 496的廠商車系);同時也可以通過介面隨意篡改任何經銷商的投放。 介面:http://d

Web漏洞處理--http host頭攻擊漏洞處理方案/檢測到目標URL存在寬位元組跨站漏洞/ 檢測到目標URL存在SQL注入漏洞

1.配置web 攔截器 <filter> <filter-name>XssSqlFilter</filter-name> <filter-class>com.enation.eop.Se

IIS 6.0/7.0/7.5、Nginx、Apache 等Web Service解析漏洞總結 Apache解析漏洞詳解

[+]IIS 6.0 目錄解析:/xx.asp/xx.jpg  xx.jpg可替換為任意文字檔案(e.g. xx.txt),文字內容為後門程式碼 IIS6.0 會將 xx.jpg 解析為 asp 檔案。 字尾解析:/xx.asp;.jpg     /xx

app崩潰的原因 提前測試流程/方法 出現崩潰後怎麼定位處理 總結

轉自:http://blog.csdn.net/qq_22795513/article/details/74590956首先,崩潰有幾種情況:1.閃退2.提示停止執行3.無響應( 不同情況雖然沒有嚴格意義上區分開引起原因,但是都有側重。在之後的工作中,我會實時補充統計。)1.

web安全-xss漏洞的原理解決方案

要符合“內部的html標籤不被解析”,我們根據HTML5的標準,分元素類別討論吧: Void Elements,如br等。 他們不允許有內部文字。Foreign Elements,如svg和mathml的相關標籤 跟xml語法一致,他們內部文字若不想被當作標籤解析,只有用<![CDATA[和]]>

pandas學習(常用數學統計方法總結、讀取或保存數據、缺省值異常值處理)

導入 numpy shape 缺省 數量 導入數據 個數 就是 msu pandas學習(常用數學統計方法總結、讀取或保存數據、缺省值和異常值處理) 目錄 常用數學統計方法總結 讀取或保存數據 缺省值和異常值處理    常用數學統計方法總結 count

web伺服器的一些漏洞處理

我的伺服器經常被入侵該設定的設定了 禁用服務  禁用埠  許可權 我只開了倆高管賬號 其他全部禁用  預設共享除了IPC$刪除不了 其他全刪了IIS裝了 後來把IIS服務都禁用了 現在用的阿帕奇的但是看日誌總有人通過IIS入侵我  總有通過主機名$ 訪問的下面是我用Xscan

IIS 6.0/7.0/7.5、Nginx、Apache 等 Web Service 解析漏洞總結

[+]IIS 6.0 目錄解析:/xx.asp/xx.jpg  xx.jpg可替換為任意文字檔案(e.g. xx.txt),文字內容為後門程式碼 IIS6.0 會將 xx.jpg 解析為 asp 檔案。 字尾解析:/xx.asp;.jpg     /xx.asp:.jpg

web api 中getpost一些經驗總結

        百度提示 常用的web api場景是一個介面多平臺呼叫,例如給安卓呼叫 給ios呼叫 給平板呼叫 主要為移動網際網路提供服務, web api雖然可以脫離iis自寄宿 但目前大多還是託管在IIS上的 會提示跨域呼叫錯誤 解決辦法好幾個 我採用cors(Cr

app崩潰的原因 提前測試流程/方法 出現崩潰後怎麼定位處理 總結(持續更新中)

首先,崩潰有幾種情況: 閃退 提示停止執行 無響應 ( 不同情況雖然沒有嚴格意義上區分開引起原因,但是都有側重。在之後的工作中,我會實時補充統計。) 1.介面返回值 [直接原因]:ap

目標URL存在跨站漏洞目標URL存在http host頭攻擊漏洞處理方案

1.2 next tex 技術 找到 編輯 事務處理 info ear 若需要學習技術文檔共享(請關註群公告的內容)/討論問題 請入QQ群:668345923 ;若無法入群,請在您瀏覽文章下方留言,至於答復,這個看情況了 目錄 HTTP協議詳解 引言

Docker實戰 | 第四篇:Docker啟用TLS加密解決暴露2375埠引發的安全漏洞,被黑掉三臺雲主機的教訓總結

## 一. 前言 在之前的文章中 [IDEA整合Docker外掛實現一鍵自動打包部署微服務專案](https://www.cnblogs.com/haoxianrui/p/14088400.html),其中開放了伺服器2375埠監聽,此做法卻引發出來一個安全問題,在上篇文章評論也有好心的童鞋提示,但自己心存