您選的網(wǎng)站制作公司安全嗎？

時間: 2018-10-24 分享新聞到

品拓互聯(lián)發(fā)現(xiàn)很多朋友在挑選網(wǎng)站公司時，會因為網(wǎng)站建設(shè)成本相對比較低廉，選擇個人網(wǎng)站制作或小公司。一般網(wǎng)站建設(shè)公司技術(shù)不成熟的話，會導(dǎo)致網(wǎng)站制作的代碼混亂，漏洞百出！掛木馬，收錄不了，跳轉(zhuǎn)到非法網(wǎng)站等。

從而公司網(wǎng)站無法正常使用，客戶流失，信譽(yù)受損！網(wǎng)站被迫重新設(shè)計，得不償失！

下面廣州網(wǎng)站建設(shè)公司-深圳網(wǎng)站制作公司-品拓互聯(lián)專業(yè)13年網(wǎng)站設(shè)計供應(yīng)商從技術(shù)上分析網(wǎng)站建設(shè)安全構(gòu)成及危害系數(shù)：

第1章概述

第2章門戶網(wǎng)站建設(shè)現(xiàn)有問題和漏洞

2.1. 主機(jī)漏洞列表 3

2.1.1. 192.168.100.27 3

2.1.2. 192.168.100.21 3

2.2. 門戶網(wǎng)站應(yīng)用系統(tǒng)漏洞列表 5

第3章門戶網(wǎng)站主機(jī)服務(wù)器加固措施 6

3.1. 192.168.100.27 6

3.2. 192.168.100.21 6

第4章門戶網(wǎng)站應(yīng)用系統(tǒng)加固措施 7

4.1. 漏洞1：敏感信息泄漏 7

4.2. 漏洞2：已解密的登陸請求 7

4.3. 漏洞3：XSS跨站腳本攻擊 7

4.4. 漏洞4：Robots.txt 文件 Web 站點結(jié)構(gòu)暴露 8

4.5. 漏洞5：隱藏目錄泄露 9

第5章門戶網(wǎng)站整體安全防護(hù)建議 10

第6章風(fēng)險的應(yīng)對措施 11

第1章概述
安全加固服務(wù)是實現(xiàn)網(wǎng)絡(luò)安全、信息系統(tǒng)安全的關(guān)鍵環(huán)節(jié)，通過該服務(wù)，協(xié)助學(xué)校進(jìn)行系統(tǒng)和應(yīng)用組件加固，消除存在的各種安全隱患，確保系統(tǒng)和應(yīng)用及時更新，先于黑客的攻擊進(jìn)行加固，提高安全性。

安全加固服務(wù)具體是根據(jù)風(fēng)險評估結(jié)果，制定相應(yīng)安全加固方案，針對特定的加固對象，通告打補(bǔ)丁、升級應(yīng)用程序軟件、修改安全配置、完善安全策略等方法，合理進(jìn)行安全性修復(fù)和加強(qiáng)，安全加固的主要目的是消除與降低安全隱患，盡可能修復(fù)已發(fā)現(xiàn)的安全漏洞，盡可能避免安全風(fēng)險的發(fā)生。

10月16日廣州市網(wǎng)絡(luò)與信息中心安全通報中心通報貴司存在敏感信息泄漏安全隱患，需對門戶網(wǎng)站的安全隱患進(jìn)行排查和修復(fù)。經(jīng)我公司進(jìn)一步排查，存在高、中危漏洞的情況及相應(yīng)加固措施和整體安全防護(hù)建議，附后。

為確保安全加固工作能夠順利進(jìn)行并達(dá)到安全加固目標(biāo)，安全加固應(yīng)盡量規(guī)避加固工作中可能的風(fēng)險，最終保證加固工作的順利進(jìn)行，確保信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

第2章門戶網(wǎng)站現(xiàn)有問題和漏洞
本安全加固方案只針對發(fā)現(xiàn)的高、中危漏洞進(jìn)行安全加固，低危漏洞暫不進(jìn)行。

2.1. 主機(jī)漏洞列表
2.1.1. 192.168.100.27

序號

漏洞名稱

漏洞級別

1

FTP 口令猜測

高危險

2

Oracle MySQL Server 遠(yuǎn)程安全漏洞(CVE-2014-0386)

中危險

3

Oracle MySQL Server 遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2014-0401)

中危險

4

Oracle MySQL Server 遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2014-0402)

中危險

5

Oracle MySQL Server 拒絕服務(wù)漏洞(CVE-2014-0412)

中危險

2.1.2. 192.168.100.21
序號

漏洞名稱

危險級別

1

Oracle數(shù)據(jù)庫Listener組件安全漏洞(CVE-2010-0911)

高危險

2

Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-2239)

高危險

3

Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-2253)

高危險

4

Oracle數(shù)據(jù)庫服務(wù)器UIX組件安全漏洞(CVE-2011-0805)

中危險

5

Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-0831)

中危險

6

Oracle數(shù)據(jù)庫服務(wù)器Database Vault組件安全漏洞(CVE-2011-2238)

中危險

7

Oracle數(shù)據(jù)庫服務(wù)器Job Queue組件安全漏洞

中危險

8

Oracle數(shù)據(jù)庫CMDB Metadata & Instance APIs組件安全漏洞

中危險

9

Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-0876)

中危險

10

Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-0838)

中危險

11

Oracle數(shù)據(jù)庫Instance Management組件安全漏洞(CVE-2011-0879)

中危險

12

Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-2232)

中危險

13

Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-0832)

中危險

14

Oracle數(shù)據(jù)庫Java虛擬機(jī)組件安全漏洞(CVE-2010-0866)

中危險

15

Oracle數(shù)據(jù)庫服務(wù)器Spatial組件安全漏洞

中危險

16

Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-2257)

中危險

17

Oracle數(shù)據(jù)庫服務(wù)器權(quán)限許可和訪問控制漏洞(CVE-2008-6065)

中危險

18

Oracle數(shù)據(jù)庫服務(wù)器Change Data Capture組件SQL注入漏洞

中危險

19

Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-0870)

中危險

20

Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-2230)

中危險

21

Oracle數(shù)據(jù)庫Oracle OLAP組件安全漏洞(CVE-2010-0902)

中危險

22

Oracle數(shù)據(jù)庫服務(wù)器Database Vault組件安全漏洞(CVE-2010-4421)

中危險

23

Oracle數(shù)據(jù)庫Security Framework組件安全漏洞(CVE-2011-0848)

中危險

24

Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件遠(yuǎn)程安全漏洞(CVE-2011-0880)

中危險

25

Oracle數(shù)據(jù)庫服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-0835)

中危險

26

Oracle數(shù)據(jù)庫Java虛擬機(jī)組件安全漏洞(CVE-2010-0867)

中危險

27

Oracle數(shù)據(jù)庫服務(wù)器Scheduler Agent組件安全漏洞

中危險

28

Oracle數(shù)據(jù)庫XML Developer Kit組件安全漏洞(CVE-2011-2231)

中危險

29

Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-2244)

中危險

30

Oracle數(shù)據(jù)庫服務(wù)器Java虛擬機(jī)組件安全漏洞

中危險

2.2. 門戶網(wǎng)站應(yīng)用系統(tǒng)漏洞列表
序號

漏洞名稱

漏洞級別

1

敏感信息泄漏

高危險

2

已解密的登陸請求

高危險

3

XSS跨站腳本攻擊

高危險

4

Robots.txt 文件 Web 站點結(jié)構(gòu)暴露

中危險

5

隱藏目錄泄露

中危險

第3章門戶網(wǎng)站主機(jī)服務(wù)器加固措施
3.1. 192.168.100.27
? 對于FTP口令猜測漏洞，建議排查各FTP弱口令賬號，加強(qiáng)口令強(qiáng)度，并定期修改口令。

? 對于Oracle MySQL Server 遠(yuǎn)程安全漏洞、Oracle MySQL Server 遠(yuǎn)程拒絕服務(wù)漏洞，建議升級Oracle數(shù)據(jù)庫補(bǔ)丁，補(bǔ)丁獲取鏈接：

http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html。

3.2. 192.168.100.21
需升級oracle數(shù)據(jù)庫補(bǔ)丁，需升級的各補(bǔ)丁獲取鏈接見下：

http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html

http://www.oracle.com/technetwork/topics/security/cpujul2010-155308.html

http://www.oracle.com/technetwork/topics/security/cpuapr2011-301950.html

http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html

http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

http://www.oracle.com/technetwork/topics/security/cpuapr2010-099504.html

http://www.oracle.com/technetwork/topics/security/whatsnew/index.html

第4章門戶網(wǎng)站應(yīng)用系統(tǒng)加固措施
4.1. 漏洞1：敏感信息泄漏
漏洞名稱

敏感信息泄漏

危險級別

高危險

漏洞URL

漏洞描述

頁面中顯示數(shù)據(jù)庫查詢語句，造成數(shù)據(jù)庫名和其他敏感信息泄漏。由于程序在編寫時沒有過濾錯誤信息，導(dǎo)致這些信息暴露在前端，這可能會被攻擊者加以利用。

加固建議

嚴(yán)格過濾報錯信息，使這些信息不顯示在前端，或不管是什么類型的錯誤僅顯示一種固定的錯誤信息。

4.2. 漏洞2：已解密的登陸請求
漏洞名稱

敏感信息泄漏

危險級別

高危險

漏洞URL

漏洞描述

檢測到將未加密的登錄請求發(fā)送到服務(wù)器。由于登錄過程中所使用的部分輸入字段（例如：用戶名、密碼、電子郵件地址、社會安全號等）是個人敏感信息，這可能會被攻擊者加以利用。

加固建議

1、采用HTTPS協(xié)議；

2、使用MD5加密對用戶名/密碼等敏感信息進(jìn)行加密，確保敏感信息以加密方式傳給服務(wù)器。

4.3. 漏洞3：XSS跨站腳本攻擊
漏洞名稱

XSS跨站腳本攻擊

危險級別

高危險

漏洞URL

漏洞描述

跨站腳本攻擊（Cross-site scripting，通常簡稱為XSS）發(fā)生在客戶端，可被用于進(jìn)行竊取隱私、釣魚欺騙、偷取密碼、傳播惡意代碼等攻擊行為。惡意的攻擊者將對客戶端有危害的代碼放到服務(wù)器上作為一個網(wǎng)頁內(nèi)容，使得其他網(wǎng)站用戶在觀看此網(wǎng)頁時，這些代碼注入到了用戶的瀏覽器中執(zhí)行，使用戶受到攻擊。一般而言，利用跨站腳本攻擊，攻擊者可竊會話COOKIE從而竊取網(wǎng)站用戶的隱私。

加固建議

對全局參數(shù)做html轉(zhuǎn)義過濾（要過濾的字符包括：單引號、雙引號、大于號、小于號，&符號），防止腳本執(zhí)行。在變量輸出時進(jìn)行HTML ENCODE 處理。

4.4. 漏洞4：Robots.txt 文件 Web 站點結(jié)構(gòu)暴露
漏洞名稱

Robots.txt 文件 Web 站點結(jié)構(gòu)暴露

危險級別

中危險

漏洞URL

漏洞描述

Web 服務(wù)器或應(yīng)用程序服務(wù)器是以不安全的方式配置的

加固建議

[1] robots.txt 文件不應(yīng)用來保護(hù)或隱藏信息

[2] 您應(yīng)該將敏感的文件和目錄移到另一個隔離的子目錄，以便將這個目錄排除在 Web Robot 搜索之外。如下列示例所示，將文件移到“folder”之類的非特定目錄名稱是比較好的解決方案：

New directory structure:

/folder/passwords.txt

/folder/sensitive_folder/

New robots.txt:

User-agent: *

Disallow: /folder/

[3] 如果您無法更改目錄結(jié)構(gòu)，且必須將特定目錄排除于 Web Robot 之外，在 robots.txt 文件中，請只用局部名稱。雖然這不是最好的解決方案，但至少它能加大完整目錄名稱的猜測難度。例如，如果要排除“sensitive_folder”和 “passwords.txt”，請使用下列名稱（假設(shè) Web 根目錄中沒有起始于相同字符的文件或目錄）：

robots.txt:

User-agent: *

Disallow: /se

Disallow: /pa

4.5. 漏洞5：隱藏目錄泄露
漏洞名稱

隱藏目錄泄漏

危險級別

中危險

漏洞URL

漏洞描述

檢測到服務(wù)器上的隱藏目錄。403 Forbidden 響應(yīng)泄露了存在此目錄，容易被黑客收集信息結(jié)合其他攻擊對服務(wù)器進(jìn)行入侵。

加固建議

可對禁止的資源發(fā)布“404 - Not Found”響應(yīng)狀態(tài)代碼，或者將其完全除去。建議，在IIS設(shè)置對403狀態(tài)的錯誤頁面指向404。

第5章門戶網(wǎng)站整體安全防護(hù)建議
? 對主機(jī)進(jìn)行安全基線檢查并對薄弱項進(jìn)行加固；

? 對主機(jī)服務(wù)器操作系統(tǒng)、FTP、數(shù)據(jù)庫、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)置強(qiáng)口令策略，并定期修改口令；

? 主機(jī)服務(wù)器安裝防病毒軟件，并及時進(jìn)行病毒庫升級，定期進(jìn)行病毒查殺；

? 部署WEB應(yīng)用防護(hù)系統(tǒng)（如果無），加強(qiáng)對門戶網(wǎng)站等互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全防護(hù)；

? 購買SSL證書服務(wù)，將門戶網(wǎng)站HTTP訪問方式改為HTTPS安全加密方式訪問；

? 將門戶網(wǎng)站接入政府網(wǎng)站綜合防護(hù)系統(tǒng)（網(wǎng)防G01）進(jìn)行云安全監(jiān)測與防護(hù)。

第6章風(fēng)險的應(yīng)對措施
為防止在加固過程中出現(xiàn)的異常狀況，所有被加固系統(tǒng)均應(yīng)在加固操作開始前進(jìn)行完整的數(shù)據(jù)備份；

安全加固時間應(yīng)盡量選擇業(yè)務(wù)可中止的時段；

加固過程中，涉及修改文件等內(nèi)容時，將備份源文件在同級目錄中，以便回退操作；

安全加固完成后，需重啟主機(jī)，因此需要學(xué)校安排相應(yīng)的人員協(xié)助進(jìn)行加固；

在加固完成后，如果出現(xiàn)被加固系統(tǒng)無法正常工作，應(yīng)立即恢復(fù)所做各項配置變更，待業(yè)務(wù)應(yīng)用正常運(yùn)行后，再行協(xié)商后續(xù)加固工作的進(jìn)行方式。

<上一篇：小程序開發(fā)-小程序制作-廣州小程序開發(fā)公司-小程序在線客服設(shè)置>

<下一篇：素質(zhì)教育VS應(yīng)試教育！>

亚洲午夜无码av毛片久久,韩国欧美日本亚洲一区二区,国产精品亚洲一区二区三区在线,性爱大鸡巴插入BB视频

您選的網(wǎng)站制作公司安全嗎？

時間: 2018-10-24 分享新聞到

了解我們?nèi)绾螏椭鷮崿F(xiàn)目標(biāo)？

網(wǎng)站建設(shè)

解決方案

關(guān)于我們

亚洲午夜无码av毛片久久,韩国欧美日本亚洲一区二区,国产精品亚洲一区二区三区在线,性爱大鸡巴插入BB视频

您選的網(wǎng)站制作公司安全嗎？

時間: 2018-10-24 分享新聞到

了解我們?nèi)绾螏椭鷮崿F(xiàn)目標(biāo)？

網(wǎng)站建設(shè)

解決方案

關(guān)于我們

您選的網(wǎng)站制作公司安全嗎？

了解我們?nèi)绾螏椭鷮崿F(xiàn)目標(biāo)？