铜仁常见网站安全漏洞处理方法

发布时间：2025-01-29

网站安全漏洞.jpg

PHPSESSID已知会话确认攻击
apache环境在根目录下建立.htaccess文件,设置
<IfModule php5_module>
php_value session.cookie_httponly true
</IfModule>
iis7及以上环境在根目录下建立web.config文件,设置
<?xml version="1.0"?>
<configuration>
<system.web>
<httpCookies httpOnlyCookies="true" />
</system.web>
</configuration>
Flash配置不当漏洞
修改根目录crossdomain.xml,将domain中的域名更换成自己的域名,多个域名可以写多行
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*.test1.com" />
<allow-access-from domain="*.test2.com" />
</cross-domain-policy>
跨站脚本Xss漏洞/sql注入漏洞/代码执行漏洞
asp程序
1.下载http://www.eboat.cn/tools/waf.zip
2.解压后,将文件放到公共文件（如数据库的连接文件）所在目录
3.在公共文件页面中加入代码

php:
1.下载http://www.eboat.cn/tools‍/360webscan.zip
2.解压后，整个文件夹放到网站根目录
3.在网站的一个公用文件（如数据库的连接文件）中加入代码：
if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){
require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');
} // 注意文件路径
常用PHP建站系统的公用页面
PHPCMS ： \phpcms\base.php
PHPWIND： \phpwind\conf\baseconfig.php
DEDECMS： \data\common.inc.php
Discuz： \config\config_global.php
Wordpress： \wp-config-sample.php
ECshop： \data\config.php
Metinfo： \include\head.php
HDwiki： \config.php

htaccess文件可读

修改apache配置文件httpd.conf
AccessFileName .htaccess

发现PHPINFO信息泄露漏洞
一般是网站目录下放置了phpinfo函数文件,删除phpinfo.php

Tomcat示例文件未删除
删除tomcat默认站点下的index.jsp

Swfupload.swf跨站脚本攻击漏洞
http://www.eboat.cn/tools‍/swfupload.swf.zip
下载压缩包解压替换Swfupload.swf,替换前备份自己的文件
以下是swfupload的源码文件，如果你自己有开发能力，也可以自己重新编译打包
http://www.eboat.cn/tools‍/swfupload.swf.rar

其他一些开源程序漏洞
请联系程序官方更新升级补丁至最新版

官网地址：https://www.50yun.net

免费注册：https://www.50yun.net/col-reg/

赶快注册 - 创建自己的线上数字化运营系统吧

标签：

上一篇：铜仁PbootCMS程序安全设置建议

下一篇：铜仁如何安装todesk远程桌面工具