第一篇:告知书网站漏洞危害及整改建议
附件2: 网站漏洞危害及整改建议
1.网站木马 1.1 危害
利用IE浏览器漏洞,让IE在后台自动下载黑客放置在网站上的木马并运行(安装)这个木马,即这个网页能下载木马到本地并运行(安装)下载到本地电脑上的木马,整个过程都在后台运行,用户一旦打开这个网页,下载过程和运行(安装)过程就自动开始,从而实现控制访问者电脑或安装恶意软件的目的。
1.2 利用方式
表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中,当有人访问时,网页木马就会利用对方系统或者浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。可被木马植入的网页也意味着能被篡改页面内容。
1.3 整改建议
1)加强网站程序安全检测,及时修补网站漏洞; 2)对网站代码进行一次全面检测,查看是否有其余恶意程序存在;
3)建议重新安装服务器及程序源码,防止有深度隐藏的恶意程序无法检测到,导致重新安装系统后攻击者仍可利用后门进入;
4)如有条件,建议部署网站防篡改设备。2.网站暗链
2.1 危害
网站被恶意攻击者插入大量暗链,将会被搜索引擎惩罚,降低权重值;被插入大量恶意链接将会对网站访问者造成不良影响;将会协助恶意网站(可能为钓鱼网站、反动网站、赌博网站等)提高搜索引擎网站排名。可被插入暗链的网页也意味着能被篡改页面内容。
2.2 利用方式
“暗链”就是看不见的网站链接,“暗链”在网站中的链接做的非常隐蔽,可能访问者并不能一眼就能识别出被挂的隐藏链接。它和友情链接有相似之处,可以有效地提高PR值,所以往往被恶意攻击者利用。
2.3 整改建议
1)加强网站程序安全检测,及时修补网站漏洞; 2)对网站代码进行一次全面检测,查看是否有其余恶意程序存在;
3)建议重新安装服务器及程序源码,防止无法到检测深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入;
4)如有条件,建议部署网站防篡改设备。3.页面篡改
3.1 危害
政府门户网站一旦被篡改将造成多种严重的后果,主要表现在以下一些方面:
1)政府形象受损; 2)影响信息发布和传播;
3)恶意发布有害违法信息及言论;
4)木马病毒传播,引发系统崩溃、数据损坏等;
5)造成泄密事件。
3.2 利用方式
恶意攻击者得到网站权限篡改网站页面内容,一般多为网站首页,或者得到域名控制权限后通过修改域名A记录,域名劫持也可达到页面篡改的目的。
3.3 整改建议
1)加强网站程序安全检测,及时修补网站漏洞; 2)对网站代码进行一次全面检测,查看是否有其余恶意程序存在;
3)建议重新安装服务器及程序源码,防止无法检测到深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入;
4)如有条件,建议部署网站防篡改设备。4.SQL注入 4.1 危害
这些危害包括但不局限于:
1)数据库信息泄漏:数据库中存放的用户的隐私信息的泄露;
2)网页篡改:通过操作数据库对特定网页进行篡改; 3)网站被挂马,传播恶意软件:修改数据库一些字段的值,嵌入网马链接,进行挂马攻击;
4)数据库被恶意操作:数据库服务器被攻击,数据库的系统管理员帐户被篡改;
5)服务器被远程控制安装后门,经由数据库服务器提供的操作系统支持,让黑客得以修改或控制操作系统;
6)破坏硬盘数据,瘫痪全系统;
一些类型的数据库系统能够让SQL指令操作文件系统,这使得SQL注入的危害被进一步放大。
4.2 利用方式
由于程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。攻击者可以提交一段数据库查询代码,根据程序返回的结果,获得某些攻击者想得知的数据,甚至获得管理权限。
4.3 整改建议
1)修改网站源代码,对用户交互页面提交数据进行过滤,防止SQL注入漏洞产生;
2)对网站代码进行一次全面检测,查看是否有恶意程序存在;
3)建议重新安装服务器及程序源码,防止无法检测到深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入;
4)如有条件,建议部署WEB应用防火墙等相关设备。5.后台管理 5.1 危害
站点信息的更新通常通过后台管理来实现,web应用程序开发者或者站点维护者可能使用常用的后台地址名称来管理,比如admin、manager等。攻击者可能通过使用上述常用地址尝试访问目标站点,获取站点的后台管理地址,从而可以达到暴力破解后台登录用户口令的目的。攻击者进入后台管理系统后可以直接对网站内容进行增加、篡改或删除。
5.2 利用方式
通过使用常用的管理后台地址尝试访问目标站点,获取站点的后台管理地址,使用字典暴力猜解网站后台地址。如后台管理的口令较弱则可能被猜解而进入管理界面,如管理登入存在注入漏洞则可能验证被绕过而直接进入管理界面。
5.3 整改建议
1)为后台管理系统设置复杂访问路径,防止被攻击者轻易找到;
2)增加验证码后台登录身份验证措施,防止攻击者对后台登录系统实施自动暴力攻击;
3)修改网站源代码,对用户提交数据进行格式进行限制,防止因注入漏洞等问题导致后台验证绕过问题;
4)加强口令管理,从管理和技术上限定口令复杂度及长度。.攻击痕迹
6.1 危害
网站常见的攻击痕迹:恶意脚本痕迹、异常文件提交痕迹、异常账号建立痕迹、异常网络连接等,一旦发现网站存在攻击痕迹,说明网站已经或曾经被入侵过。
6.2 整改建议
1)加强网站程序安全检测,及时修补网站漏洞; 2)对网站代码进行一次全面检测,及时发现网站代码中存在的问题,查看是否有恶意程序存在;
3)建议重新安装服务器及程序源码,防止无法检测到深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入。
7.跨站脚本
7.1 危害
1)钓鱼欺骗:最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站,或者注入钓鱼JavaScript以监控目标网站的表单输入,甚至发起基于DHTML更高级的钓鱼攻击方式。
2)网站挂马:跨站时利用IFrame嵌入隐藏的恶意网站或者将被攻击者定向到恶意网站上,或者弹出恶意网站窗口等方式都可以进行挂马攻击。
3)身份盗用:Cookie是用户对于特定网站的身份验证标志,XSS可以盗取到用户的Cookie,从而利用该Cookie盗取用户对该网站的操作权限。如果一个网站管理员用户Cookie被窃取,将会对网站引发严重危害。
4)盗取网站用户信息:当能够窃取到用户Cookie从而获取到用户身份使,攻击者可以获取到用户对网站的操作权限,从而查看用户隐私信息。5)垃圾信息发送:如在SNS社区中,利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。
6)劫持用户Web行为:一些高级的XSS攻击甚至可以劫持用户的Web行为,监视用户的浏览历史,发送与接收的数据等等。
7)XSS蠕虫:XSS 蠕虫可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。
7.2 利用方式
XSS攻击使用到的技术主要为HTML和Javascript,也包括VBScript和ActionScript等。XSS攻击对WEB服务器虽无直接危害,但是它借助网站进行传播,使网站的使用用户受到攻击,导致网站用户帐号被窃取,从而对网站产生较严重的危害。
7.3 整改建议
1)修改网站源代码,对用户交互页面提交数据进行过滤,防止SQL注入漏洞产生;
2)对网站代码进行一次全面检测,查看是否有恶意程序存在;
3)建议重新安装服务器及程序源码,防止无法检测到深度隐藏的恶意程序,导致重新安装系统后攻击者仍可利用后门进入;
4)如有条件,建议部署WEB应用防火墙等相关设备。8.文件包含
8.1 危害 由于开发人员编写源码,开发者将可重复使用的代码插入到单个的文件中,并在需要的时候将它们包含在特殊的功能代码文件中,然后包含文件中的代码会被解释执行。由于并没有针对代码中存在文件包含的函数入口做过滤,导致客户端可以提交恶意构造语句,并交由服务器端解释执行。
8.2 利用方式
文件包含漏洞,如果允许客户端用户输入控制动态包含在服务器端的文件,会导致恶意代码的执行及敏感信息泄露,主要包括本地文件包含和远程文件包含两种形式。
8.3 整改建议
修改程序源代码,禁止服务器端通过动态包含文件方式的文件链接。
9.目录遍历 9.1 危害
程序中如果不能正确地过滤客户端提交的../和./之类的目录跳转符,恶意者就可以通过上述符号跳转来访问服务器上的特定的目录或文件。
9.2 利用方式
提交../和./之类的目录跳转符,恶意者就可以通过上述符号跳转来访问服务器上的特定的目录或文件。
9.3 整改建议
加强网站访问权限控制,禁止网站目录的用户浏览权限。
10.危险端口
10.1 危害
开放危险端口(数据库、远程桌面、telnet等),可被攻击者尝试弱口令登录或暴力猜解登录口令,或利用开放的端口进行DDOS拒绝服务攻击。
10.2 利用方式
弱口令尝试和暴力猜解。10.3 整改建议
加强网站服务器的端口访问控制,禁止非必要端口对外开放。例如数据库连接端口1433、1521、3306等;谨慎开放远程管理端口3389、23、22、21等,如有远程管理需要,建议对端口进行更改或者管理IP进行限制。
11.信息泄露 11.1 危害
目标网站WEB程序和服务器未屏蔽错误信息,未做有效权限控制,可能导致泄漏敏感信息,恶意攻击者利用这些信息进行进一步渗透测试。
11.2 利用方式
信息泄漏的利用方式包括但不限于以下攻击方式: 1)phpinfo信息泄漏; 2)测试页面泄漏在外网; 3)备份文件泄漏在外网; 4)版本管理工具文件信息泄漏; 5)HTTP认证泄漏;
6)泄漏员工电子邮箱漏洞以及分机号码;
7)错误详情泄漏;
8)网站真实存放路径泄漏。11.3 整改建议
1)加强网站服务器配置,对默认错误信息进行修改,避免因客户端提交的非法请求导致服务器返回敏感信息。
2)尽量不在网站目录下存放备份、测试等可能泄露网站内容的文件。
12.中间件
12.1 危害
WEB应用程序的搭建环境会利用到中间件,如:IIS、apache、weblogic等,而这些中间件软件都存在一些漏洞,如:拒绝服务漏洞,代码执行漏洞、跨站脚本漏洞等。恶意攻击者利用中间件的漏洞可快速成功攻击目标网站。
12.2 利用方式
判断中间件版本,利用已公布的漏洞exp进行攻击,或挖掘识别出的版本所存在的安全漏洞。
12.3 整改建议
加强网站web服务器、中间件配置,及时更新中间件安全补丁,尤其注意中间件管理平台的口令强度。
13.第三方插件 13.1 危害
WEB应用程序很多依靠其他第三方插件搭配,如编辑器、网站框架,这些第三方插件也会存在一些漏洞,若未做安全配置,使用默认安装也会产生一些安全隐患,导致攻击者可以任意新增、读取、修改或删除应用程序中的资料,最坏的情况是造成攻击者能够完全获取整个网站和数据库的控制权限,包括修改删除网站页面、窃取数据库敏感信息,甚至以网站为跳板,获取整个内网服务器控制权限。
13.2 利用方式
识别当前网站程序所涉及的第三方插件,针对第三方插件进行漏洞攻击
13.3 整改建议
一些不安全的第三方插件,可能存在众多已知或未知漏洞,攻击者利用这些第三方插件漏洞,可能获取网站文件、控制服务器。如果网站需要引入第三方插件,建议上线前进行安全检测或加固,尽量不要采用一些存在问题较多的中间件,例如fckeditor等。
14.文件上传 14.1 危害
由于文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型,导致允许攻击者向某个可通过 Web 访问的目录上传任意后缀文件,并能将这些文件传递给脚本解释器,就可以在远程服务器上执行任意脚本或恶意代码。
14.2 利用方式
直接上传可被执行的脚本文件,绕过文件限制上传可被执行的脚本文件。
14.3 整改建议
对网站所有上传接口在服务器端进行严格的类型、大小
等控制,防止攻击者利用上传接口上传恶意程序。
15.配置文件 15.1 危害
未做严格的权限控制,恶意攻击者可直接访问配置文件,将会泄漏配置文件内的敏感信息。
15.2 利用方式
尝试访问常见配置文件路径,查看是否泄漏敏感信息。15.3 整改建议
加强对网站常见默认配置文件比如数据库连接文件、备份数据库等文件的管理,避免使用默认配置路径及默认格式存放,防止攻击者针对网站类型直接获取默认配置文件。
16.冗余文件 16.1 危害
未做严格的权限控制,如备份信息或临时文件等冗余文件将会泄漏敏感信息。
16.2 利用方式
利用字典尝试冗余文件是否存在,并且判断是否存在可利用的敏感信息。
16.3 整改建议
1)注意对网站所有目录中文件进行监控,避免将网站打包备份文件、数据库备份文件等直接存放在网站目录下;
2)定期对网站目录中文件进行比对,及时发现并清除被插入页面或上传的恶意程序。
17.系统漏洞
17.1 危害
系统漏洞问题是与时间紧密相关的。一个系统从发布的那一天起,随着用户的深入使用,系统中存在的漏洞会被不断暴露出来。如果系统中存在安全漏洞没有及时修复,并且计算机内没有防病毒软件等安全防护措施,很有可能会被病毒、木马所利用,轻则使计算机操作系统某些功能不能正常使用,重则会使用户账号密码丢失、系统破坏等。
17.2 利用方式
通过漏洞扫描软件获取当前系统存在的漏洞信息,进行利用。
17.3 整改建议
1)及时更新网站服务器、中间件、网站应用程序等发布的安全漏洞补丁或安全增强措施;
2)如果因特殊情况不宜升级补丁,则应该根据漏洞情况使用一些第三方的安全防护措施防止漏洞被利用;
3)如有条件,建议经常对网站进行系统层漏洞检测。
第二篇:网站漏洞整改报告
网站安全整改报告
收到教育局中心机房发来的网站安全漏洞检测报告,对被检测的域名地址进行确认,我校主要近阶段处在新旧网站交替时期,旧网站还没有退役,新网站也已上线。被检测的存在漏洞的地址为我校原网站域名地址。我校安全领导小组马上召开了紧急会议。经会议商讨决定,作出以下几点整改措失:
1.关闭旧网站;
2.加固原网站服务器及其他内部服务器,对服务器进进漏洞扫瞄,系统漏洞修补完毕;
3.对于新网站,此次虽然未进行检测,但从兄弟学校的网站检测报告来看(同开发单位),应该存在漏洞。会后马上联系开发单位进行检测整改。
反思及下一步工作
(一)反思
1.网站开发时,只考虑了网站的功能使用,没有考虑网站安全问题。
2.学校自己技术力量薄弱,对安全检测有一定难度。
(二)下一步工作
1. 加强对服务器安全的管理,每月使用扫描工具对所有服务器进行日常扫描监控,并安装好补丁。
2015/12/05
第三篇:网站漏洞整改报告
安全整改报告
整改情况
1.相关单位收到加固通知后,对IP地址进行确认,存在漏洞的地址均为集团客户MAS机服务器地址。
2.相关单位维护人员到集团客户现场对所有MAS设备进行了检查并对相应的设备安装了Apache Struts漏洞补丁,并将整改结果反馈至省公司。
3.经验证,所有MAS设备已完成加固,漏洞修补完毕。
三、反思及下一步工作
(一)反思
1.业务系统上线前,并没有做到有效地安全加固工作。2.集团客户安全意识薄弱,MAS机加固工作存在一定难度。
(二)下一步工作
1. 加强对MAS服务器安全的管理,每月使用扫描工具对所有MAS进行日常扫描监控,同时对新增MAS服务器做好检查并安装好补丁。
2.对于新增MAS,做好完整的安全加固工作。后续每月对每一台服务器做好检查并安装好补丁,把安全问题降到最低。
第四篇:职业危害告知书
兴仁县黔山煤矿职业危害因素告知书
根据《中华人民共和国职业病防治法》第三十条的规定,现将工作过程中可能产生的职业病危害及其后果、职业病防护措施和待遇等如实告知您并请您签署,在劳动合同期间,您的工作岗位发生变更并且变更岗位存在职业危害因素时,将重新告知并请您签署。
您所在区域的岗位,存在职业病危害因素。如防护不当,该职业危害因素可能对您的身体造成一定程度的损害。在本岗位,公司已按照国家有关规定,对职业危害因素采取了职业病防护措施,并对您发放合适的个人防护用品。
根据《中华人民共和国职业病防治法》第三十一条的规定,公司将对您进行岗前和在岗期间的职业安全卫生培训,指导您正确使用相关的职业病防护设备和个人职业病防护用品。
根据《中华人民共和国职业病防治法》第三十二条的规定,公司应当安排您进行上岗前、在岗期间和离岗时的职业健康检查,并将检查结果如实告知您。您有义务按照公司的要求参加上岗前、在岗期间和离岗时的职业健康检查。职业健康检查费用由公司承担。
根据《中华人民共和国职业病防治法》第五十一条的规定,一旦您患上职业病,公司将按照《工伤保险条例》的相关规定执行。
根据《中华人民共和国职业病防治法》的规定,您有义务履行以下规定:
1.自觉遵守用人单位制定的本岗位职业卫生操作规程和制度。
2.正确使用职业病防护设备和个人职业病防护用品。
3.积极参加职业卫生知识培训。
4.定期参加职业病健康体检。
5.发现职业病危害隐患事故应当及时报告用人单位。
6.树立自我保护意识,积极配合用人单位,避免职业病的发生。
7.离职时,应当按照公司的规定参加离职时的职业健康体检。
若因您不恰当履行如上规定的义务导致本人或者他人的损害并进而导致公司承担任何支付补偿责任的,公司将有权按该费用的2倍追究您的个人责任。
本人已知道以上法规和企业制度的相关规定,并知道了职业病危害的相关因素,特此确认。
劳动者签名:
年月日
第五篇:职业危害告知书
职业危害告知书
劳动合同职业危害因素告知
________先生/女士:
________________公司主要是以生产xx业务为主的作业工厂,在生产过程中有可能 产生的职业危害。依照职业病防治法的有关规定,公司已采取有效的职业卫生防护管理措施,根据岗位配备个人防护用品,并专门设有环境、健康、安全部门(EHS)。此外,每位员工入职前必须要进行安全培训,从业后要定期进行职业病体检。同时公司配有专业人员,持续监控作业场所的有害物质对员工健康的威胁性,制定预防措施。
根据《中华人民共和国职业病防治法》的规定,我公司将您在工作过程中可能涉及的职业病危害及其后果、职业病防护措施和待遇等如实告知如下。
您所在的_______车间_________岗位,存在________职业病危害因素。如果防护不当,该职业病危害因素可能对您造成损害。
您的入职前体检结果是基本正常,目前无职业禁忌症。
在本岗位,公司将按照伊顿及国家有关规定,对职业病危害因素采取必要的职业病防护措施,并对您发放个人防护用品________、___________、______________。您必须按照公司有关规定作好个人防护。
您有义务履行以下规定:自觉遵守用人单位制定的本岗位职业卫生操作规程和制度;正确使用职业病防护设备和个人职业病防护用品;积极参加职业卫生知识培训;定期参加职业病健康体检;发现职业病危害隐患事故应当及时报告用人单位;树立自我保护意识,积极配合用人单位,避免职业病的发生;离职时,应该按照公司的规定参加离职时的职业健康体检。
若违反或不恰当履行前款规定,公司有权根据公司相关规定进行处罚以至解除劳动合同
如果发现员工身体情况因工作原因有变化趋势或职业禁忌症,公司将安排予以调整工作岗位。一旦发生职业病,公司将按照国家有关法律、法规,为您提供相应待遇。
公司规定员工离职时须参加离岗体检,如擅自离开公司无视公司规定,所发生的一 切后果自负,公司自通知本人后逾期二十天者属于自动放弃。
在劳动合同期间,您的工作岗位发生变更并且变更的岗位存在职业病危害因素时,公司将重新告知并请您签署。
基于上述几点,如果你本人已获悉工作岗位职业病危害因素及个人的身体状况,了解并遵从公司作业规程和安全防护要求(员工签字确认)
用人单位盖章本人签字(确认收到并同意)
年月日年月日
点击咨询 