1.1. 针对网站目录路径泄露整改建议 统一错误代码:确保你不小心通过提供不一致或“冲突”的错误消息给攻击者。 信息错误消息:确保错误信息不透露太多的信息。完全或部分路径,变量和文件名,行和表中的列名,和特定的数据库的错误不应该透露给最终用户。 适当的错误处理:利用通用的错误页面和错误处理逻辑,告知潜在的问题的最终用户。不提供系统信息或可能被攻击者利用精心策划的攻击时,其它数据。 1.2. 针对文件上传漏洞整改建议 文件上传功能允许 Web 用户将文件从自己的计算机发送到 Web 服务器。如果用于接收文件的 Web 应用程序未仔细检查此文件是否包含恶意内容,那么攻击者也许能够通过上传文件在服务器上执行任意命令。建议采取严格的文件上传策略,通过清理和筛选避免上传恶意材料 。 限 制 文件上传的类 型 ,检查的文件扩 展 名,只 允许特定的文件上传。用白 名单 的方 式 而 不是一个 黑 名单 。检查双 扩 展 ,如.php.png。检查的文件没 有 文件 名一样 。htaccess( 对ASP.NET 配 置 文件,检查网络 配 置 。)。改变对上传文件夹 的权 限 ,文件在此文件夹 中不可执行。如果可能的话 ,重 命名上传文件。 可能会 在 Web 服务器上运 行远 程命令。这 通常 意味 着 完全破 坏 服务器及 其内容 可能会 在 Web 服务器上上载 、 修 改或删 除 Web 页面、 脚 本 和文件 在文件上载 过程中,限 制 用户能力 和许可权 : [1] 确保上载 脚 本 只 能控 制 上载 的文件名和位 置 。 [2] 不上载 脚 本 文件,如 asp、 aspx、 php、 jsp 等 。只 允许上载 静 态 内容。 [3] 只 允许上载 预 期 的文件类 型 。例 如,如果您 预 期 纯 文本 文件,便 只 允许 .txt 扩 展 名。 [4] 验 证 上载 的文件内容。如果您 预 期 纯 文本 文件,请 确保它不含二 进 制 字符 或动 态 脚 本 部分。 1.3. 针对Robot.txt 文件WEB 站点结构泄露漏洞整改建议 可能会检索有关站点文件系统结构的信息,这可能会帮助攻击者映射此 Web 站点。 1、 robots.txt 文件不应用来保护或隐藏信息 2、 您应该将敏感的文件和目录移到另一个隔离的子目录,以便将这个目录排除在 Web Robot 搜索之外。如下列示例所示,将文件移到“folder”之类的非特定目录名称是比较好的解决方案: New directory ...
