常见网站安全漏洞处理方法

htaess文件可读

修改apache配置文件httpd.conf

AessFileName  .htaess

发现PHPINFO信息泄露漏洞

一般是网站目录下放置了phpfo函数文件,删除phpfo.php

Tomcat示例文件未删除

删除tomcat默认站点下的dex.jsp

PHPSESSID已知会话确认攻击

apache环境在根目录下建立.htaess文件,设置

<IfModule php5_module>

php_value session.cookie_httponly true

</IfModule>

iis7及以上环境在根目录下建立web.config文件,设置

<?xml version="1.0"?>

<configuration>

<system.web>

<httpCookies httpOnlyCookies="true"  />

</system.web>

</configuration>

Flash配置不当漏洞

修改根目录crossdoma.xml,将doma中的域名更换成自己的域名,多个域名可以写多行

<?xml version="1.0"?>

<cross-doma-policy>

<allow-aess-from doma=".test1." />

<allow-aess-from doma=".test2." />

</cross-doma-policy>

跨站脚本Xss漏洞/sql注入漏洞/代码执行漏洞

asp程序

1.下载http://downfo.myhostadm./vps/asp.zip

2.解压后,将文件放到公共文件（如数据库的连接文件）所在目录

3.在公共文件页面中加入代码

<!--#clude file="waf.asp"-->

php:

1.下载http://downfo.myhostadm./vps/360webscan.zip

2.解压后，整个文件夹放到网站根目录

3.在网站的一个公用文件（如数据库的连接文件）中加入代码

if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){

require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');

} // 注意文件路径

常用PHP建站系统的公用页面

PHPCMS       \phpcms\base.php

PHPWIND     \phpwd\conf\baseconfig.php

DEDECMS     \data\mon.c.php

Discuz           \config\config_global.php

Wordpress    \wp-config-sample.php

ECshop         \data\config.php

Metfo         \clude\head.php

HDwiki          \config.php

Swfupload.swf跨站脚本攻击漏洞

http://downfo.myhostadm./vps/swfupload.swf.zip

下载压缩包解压替换Swfupload.swf,替换前备份自己的文件

推火网以下是swfupload的源码文件，如果你自己有开发能力，也可以自己重新编译打包

http://downfo.myhostadm./vps/swfupload.swf.rar

其他一些开源程序漏洞

请联系程序官方更新升级补丁至最新版

推火专家西部数码