您選的網(wǎng)站制作公司安全嗎？

時(shí)間: 2018-10-24 分享新聞到

品拓互聯(lián)發(fā)現(xiàn)很多朋友在挑選網(wǎng)站公司時(shí)，會(huì)因?yàn)?a href="http://sc-gl.com/" target="_blank">網(wǎng)站建設(shè)成本相對(duì)比較低廉，選擇個(gè)人網(wǎng)站制作或小公司。一般網(wǎng)站建設(shè)公司技術(shù)不成熟的話，會(huì)導(dǎo)致網(wǎng)站制作的代碼混亂，漏洞百出！掛木馬，收錄不了，跳轉(zhuǎn)到非法網(wǎng)站等。

從而公司網(wǎng)站無(wú)法正常使用，客戶流失，信譽(yù)受損！網(wǎng)站被迫重新設(shè)計(jì)，得不償失！

下面廣州網(wǎng)站建設(shè)公司-深圳網(wǎng)站制作公司-品拓互聯(lián)專業(yè)13年網(wǎng)站設(shè)計(jì)供應(yīng)商從技術(shù)上分析網(wǎng)站建設(shè)安全構(gòu)成及危害系數(shù)：

第1章概述

第2章門戶網(wǎng)站建設(shè)現(xiàn)有問(wèn)題和漏洞

2.1. 主機(jī)漏洞列表 3

2.1.1. 192.168.100.27 3

2.1.2. 192.168.100.21 3

2.2. 門戶網(wǎng)站應(yīng)用系統(tǒng)漏洞列表 5

第3章門戶網(wǎng)站主機(jī)服務(wù)器加固措施 6

3.1. 192.168.100.27 6

3.2. 192.168.100.21 6

第4章門戶網(wǎng)站應(yīng)用系統(tǒng)加固措施 7

4.1. 漏洞1：敏感信息泄漏 7

4.2. 漏洞2：已解密的登陸請(qǐng)求 7

4.3. 漏洞3：XSS跨站腳本攻擊 7

4.4. 漏洞4：Robots.txt 文件 Web 站點(diǎn)結(jié)構(gòu)暴露 8

4.5. 漏洞5：隱藏目錄泄露 9

第5章門戶網(wǎng)站整體安全防護(hù)建議 10

第6章風(fēng)險(xiǎn)的應(yīng)對(duì)措施 11

第1章概述
安全加固服務(wù)是實(shí)現(xiàn)網(wǎng)絡(luò)安全、信息系統(tǒng)安全的關(guān)鍵環(huán)節(jié)，通過(guò)該服務(wù)，協(xié)助學(xué)校進(jìn)行系統(tǒng)和應(yīng)用組件加固，消除存在的各種安全隱患，確保系統(tǒng)和應(yīng)用及時(shí)更新，先于黑客的攻擊進(jìn)行加固，提高安全性。

安全加固服務(wù)具體是根據(jù)風(fēng)險(xiǎn)評(píng)估結(jié)果，制定相應(yīng)安全加固方案，針對(duì)特定的加固對(duì)象，通告打補(bǔ)丁、升級(jí)應(yīng)用程序軟件、修改安全配置、完善安全策略等方法，合理進(jìn)行安全性修復(fù)和加強(qiáng)，安全加固的主要目的是消除與降低安全隱患，盡可能修復(fù)已發(fā)現(xiàn)的安全漏洞，盡可能避免安全風(fēng)險(xiǎn)的發(fā)生。

10月16日廣州市網(wǎng)絡(luò)與信息中心安全通報(bào)中心通報(bào)貴司存在敏感信息泄漏安全隱患，需對(duì)門戶網(wǎng)站的安全隱患進(jìn)行排查和修復(fù)。經(jīng)我公司進(jìn)一步排查，存在高、中危漏洞的情況及相應(yīng)加固措施和整體安全防護(hù)建議，附后。

為確保安全加固工作能夠順利進(jìn)行并達(dá)到安全加固目標(biāo)，安全加固應(yīng)盡量規(guī)避加固工作中可能的風(fēng)險(xiǎn)，最終保證加固工作的順利進(jìn)行，確保信息系統(tǒng)的安全穩(wěn)定運(yùn)行。

第2章門戶網(wǎng)站現(xiàn)有問(wèn)題和漏洞
本安全加固方案只針對(duì)發(fā)現(xiàn)的高、中危漏洞進(jìn)行安全加固，低危漏洞暫不進(jìn)行。

2.1. 主機(jī)漏洞列表
2.1.1. 192.168.100.27

序號(hào)

漏洞名稱

漏洞級(jí)別

1

FTP 口令猜測(cè)

高危險(xiǎn)

2

Oracle MySQL Server 遠(yuǎn)程安全漏洞(CVE-2014-0386)

中危險(xiǎn)

3

Oracle MySQL Server 遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2014-0401)

中危險(xiǎn)

4

Oracle MySQL Server 遠(yuǎn)程拒絕服務(wù)漏洞(CVE-2014-0402)

中危險(xiǎn)

5

Oracle MySQL Server 拒絕服務(wù)漏洞(CVE-2014-0412)

中危險(xiǎn)

2.1.2. 192.168.100.21
序號(hào)

漏洞名稱

危險(xiǎn)級(jí)別

1

Oracle數(shù)據(jù)庫(kù)Listener組件安全漏洞(CVE-2010-0911)

高危險(xiǎn)

2

Oracle數(shù)據(jù)庫(kù)服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-2239)

高危險(xiǎn)

3

Oracle數(shù)據(jù)庫(kù)服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-2253)

高危險(xiǎn)

4

Oracle數(shù)據(jù)庫(kù)服務(wù)器UIX組件安全漏洞(CVE-2011-0805)

中危險(xiǎn)

5

Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-0831)

中危險(xiǎn)

6

Oracle數(shù)據(jù)庫(kù)服務(wù)器Database Vault組件安全漏洞(CVE-2011-2238)

中危險(xiǎn)

7

Oracle數(shù)據(jù)庫(kù)服務(wù)器Job Queue組件安全漏洞

中危險(xiǎn)

8

Oracle數(shù)據(jù)庫(kù)CMDB Metadata & Instance APIs組件安全漏洞

中危險(xiǎn)

9

Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-0876)

中危險(xiǎn)

10

Oracle數(shù)據(jù)庫(kù)服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-0838)

中危險(xiǎn)

11

Oracle數(shù)據(jù)庫(kù)Instance Management組件安全漏洞(CVE-2011-0879)

中危險(xiǎn)

12

Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-2232)

中危險(xiǎn)

13

Oracle數(shù)據(jù)庫(kù)服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-0832)

中危險(xiǎn)

14

Oracle數(shù)據(jù)庫(kù)Java虛擬機(jī)組件安全漏洞(CVE-2010-0866)

中危險(xiǎn)

15

Oracle數(shù)據(jù)庫(kù)服務(wù)器Spatial組件安全漏洞

中危險(xiǎn)

16

Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-2257)

中危險(xiǎn)

17

Oracle數(shù)據(jù)庫(kù)服務(wù)器權(quán)限許可和訪問(wèn)控制漏洞(CVE-2008-6065)

中危險(xiǎn)

18

Oracle數(shù)據(jù)庫(kù)服務(wù)器Change Data Capture組件SQL注入漏洞

中危險(xiǎn)

19

Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-0870)

中危險(xiǎn)

20

Oracle數(shù)據(jù)庫(kù)服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-2230)

中危險(xiǎn)

21

Oracle數(shù)據(jù)庫(kù)Oracle OLAP組件安全漏洞(CVE-2010-0902)

中危險(xiǎn)

22

Oracle數(shù)據(jù)庫(kù)服務(wù)器Database Vault組件安全漏洞(CVE-2010-4421)

中危險(xiǎn)

23

Oracle數(shù)據(jù)庫(kù)Security Framework組件安全漏洞(CVE-2011-0848)

中危險(xiǎn)

24

Oracle數(shù)據(jù)庫(kù)服務(wù)器Core RDBMS組件遠(yuǎn)程安全漏洞(CVE-2011-0880)

中危險(xiǎn)

25

Oracle數(shù)據(jù)庫(kù)服務(wù)器Core RDBMS組件安全漏洞(CVE-2011-0835)

中危險(xiǎn)

26

Oracle數(shù)據(jù)庫(kù)Java虛擬機(jī)組件安全漏洞(CVE-2010-0867)

中危險(xiǎn)

27

Oracle數(shù)據(jù)庫(kù)服務(wù)器Scheduler Agent組件安全漏洞

中危險(xiǎn)

28

Oracle數(shù)據(jù)庫(kù)XML Developer Kit組件安全漏洞(CVE-2011-2231)

中危險(xiǎn)

29

Oracle Database Server遠(yuǎn)程安全漏洞(CVE-2011-2244)

中危險(xiǎn)

30

Oracle數(shù)據(jù)庫(kù)服務(wù)器Java虛擬機(jī)組件安全漏洞

中危險(xiǎn)

2.2. 門戶網(wǎng)站應(yīng)用系統(tǒng)漏洞列表
序號(hào)

漏洞名稱

漏洞級(jí)別

1

敏感信息泄漏

高危險(xiǎn)

2

已解密的登陸請(qǐng)求

高危險(xiǎn)

3

XSS跨站腳本攻擊

高危險(xiǎn)

4

Robots.txt 文件 Web 站點(diǎn)結(jié)構(gòu)暴露

中危險(xiǎn)

5

隱藏目錄泄露

中危險(xiǎn)

第3章門戶網(wǎng)站主機(jī)服務(wù)器加固措施
3.1. 192.168.100.27
? 對(duì)于FTP口令猜測(cè)漏洞，建議排查各FTP弱口令賬號(hào)，加強(qiáng)口令強(qiáng)度，并定期修改口令。

? 對(duì)于Oracle MySQL Server 遠(yuǎn)程安全漏洞、Oracle MySQL Server 遠(yuǎn)程拒絕服務(wù)漏洞，建議升級(jí)Oracle數(shù)據(jù)庫(kù)補(bǔ)丁，補(bǔ)丁獲取鏈接：

http://www.oracle.com/technetwork/topics/security/cpujan2014-1972949.html。

3.2. 192.168.100.21
需升級(jí)oracle數(shù)據(jù)庫(kù)補(bǔ)丁，需升級(jí)的各補(bǔ)丁獲取鏈接見(jiàn)下：

http://www.oracle.com/technetwork/topics/security/cpujuly2011-313328.html

http://www.oracle.com/technetwork/topics/security/cpujul2010-155308.html

http://www.oracle.com/technetwork/topics/security/cpuapr2011-301950.html

http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html

http://www.oracle.com/technetwork/topics/security/cpuoct2010-175626.html

http://www.oracle.com/technetwork/topics/security/cpuapr2010-099504.html

http://www.oracle.com/technetwork/topics/security/whatsnew/index.html

第4章門戶網(wǎng)站應(yīng)用系統(tǒng)加固措施
4.1. 漏洞1：敏感信息泄漏
漏洞名稱

敏感信息泄漏

危險(xiǎn)級(jí)別

高危險(xiǎn)

漏洞URL

漏洞描述

頁(yè)面中顯示數(shù)據(jù)庫(kù)查詢語(yǔ)句，造成數(shù)據(jù)庫(kù)名和其他敏感信息泄漏。由于程序在編寫時(shí)沒(méi)有過(guò)濾錯(cuò)誤信息，導(dǎo)致這些信息暴露在前端，這可能會(huì)被攻擊者加以利用。

加固建議

嚴(yán)格過(guò)濾報(bào)錯(cuò)信息，使這些信息不顯示在前端，或不管是什么類型的錯(cuò)誤僅顯示一種固定的錯(cuò)誤信息。

4.2. 漏洞2：已解密的登陸請(qǐng)求
漏洞名稱

敏感信息泄漏

危險(xiǎn)級(jí)別

高危險(xiǎn)

漏洞URL

漏洞描述

檢測(cè)到將未加密的登錄請(qǐng)求發(fā)送到服務(wù)器。由于登錄過(guò)程中所使用的部分輸入字段（例如：用戶名、密碼、電子郵件地址、社會(huì)安全號(hào)等）是個(gè)人敏感信息，這可能會(huì)被攻擊者加以利用。

加固建議

1、采用HTTPS協(xié)議；

2、使用MD5加密對(duì)用戶名/密碼等敏感信息進(jìn)行加密，確保敏感信息以加密方式傳給服務(wù)器。

4.3. 漏洞3：XSS跨站腳本攻擊
漏洞名稱

XSS跨站腳本攻擊

危險(xiǎn)級(jí)別

高危險(xiǎn)

漏洞URL

漏洞描述

跨站腳本攻擊（Cross-site scripting，通常簡(jiǎn)稱為XSS）發(fā)生在客戶端，可被用于進(jìn)行竊取隱私、釣魚(yú)欺騙、偷取密碼、傳播惡意代碼等攻擊行為。惡意的攻擊者將對(duì)客戶端有危害的代碼放到服務(wù)器上作為一個(gè)網(wǎng)頁(yè)內(nèi)容，使得其他網(wǎng)站用戶在觀看此網(wǎng)頁(yè)時(shí)，這些代碼注入到了用戶的瀏覽器中執(zhí)行，使用戶受到攻擊。一般而言，利用跨站腳本攻擊，攻擊者可竊會(huì)話COOKIE從而竊取網(wǎng)站用戶的隱私。

加固建議

對(duì)全局參數(shù)做html轉(zhuǎn)義過(guò)濾（要過(guò)濾的字符包括：?jiǎn)我?hào)、雙引號(hào)、大于號(hào)、小于號(hào)，&符號(hào)），防止腳本執(zhí)行。在變量輸出時(shí)進(jìn)行HTML ENCODE 處理。

4.4. 漏洞4：Robots.txt 文件 Web 站點(diǎn)結(jié)構(gòu)暴露
漏洞名稱

Robots.txt 文件 Web 站點(diǎn)結(jié)構(gòu)暴露

危險(xiǎn)級(jí)別

中危險(xiǎn)

漏洞URL

漏洞描述

Web 服務(wù)器或應(yīng)用程序服務(wù)器是以不安全的方式配置的

加固建議

[1] robots.txt 文件不應(yīng)用來(lái)保護(hù)或隱藏信息

[2] 您應(yīng)該將敏感的文件和目錄移到另一個(gè)隔離的子目錄，以便將這個(gè)目錄排除在 Web Robot 搜索之外。如下列示例所示，將文件移到“folder”之類的非特定目錄名稱是比較好的解決方案：

New directory structure:

/folder/passwords.txt

/folder/sensitive_folder/

New robots.txt:

User-agent: *

Disallow: /folder/

[3] 如果您無(wú)法更改目錄結(jié)構(gòu)，且必須將特定目錄排除于 Web Robot 之外，在 robots.txt 文件中，請(qǐng)只用局部名稱。雖然這不是最好的解決方案，但至少它能加大完整目錄名稱的猜測(cè)難度。例如，如果要排除“sensitive_folder”和 “passwords.txt”，請(qǐng)使用下列名稱（假設(shè) Web 根目錄中沒(méi)有起始于相同字符的文件或目錄）：

robots.txt:

User-agent: *

Disallow: /se

Disallow: /pa

4.5. 漏洞5：隱藏目錄泄露
漏洞名稱

隱藏目錄泄漏

危險(xiǎn)級(jí)別

中危險(xiǎn)

漏洞URL

漏洞描述

檢測(cè)到服務(wù)器上的隱藏目錄。403 Forbidden 響應(yīng)泄露了存在此目錄，容易被黑客收集信息結(jié)合其他攻擊對(duì)服務(wù)器進(jìn)行入侵。

加固建議

可對(duì)禁止的資源發(fā)布“404 - Not Found”響應(yīng)狀態(tài)代碼，或者將其完全除去。建議，在IIS設(shè)置對(duì)403狀態(tài)的錯(cuò)誤頁(yè)面指向404。

第5章門戶網(wǎng)站整體安全防護(hù)建議
? 對(duì)主機(jī)進(jìn)行安全基線檢查并對(duì)薄弱項(xiàng)進(jìn)行加固；

? 對(duì)主機(jī)服務(wù)器操作系統(tǒng)、FTP、數(shù)據(jù)庫(kù)、應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等設(shè)置強(qiáng)口令策略，并定期修改口令；

? 主機(jī)服務(wù)器安裝防病毒軟件，并及時(shí)進(jìn)行病毒庫(kù)升級(jí)，定期進(jìn)行病毒查殺；

? 部署WEB應(yīng)用防護(hù)系統(tǒng)（如果無(wú)），加強(qiáng)對(duì)門戶網(wǎng)站等互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全防護(hù)；

? 購(gòu)買SSL證書(shū)服務(wù)，將門戶網(wǎng)站HTTP訪問(wèn)方式改為HTTPS安全加密方式訪問(wèn)；

? 將門戶網(wǎng)站接入政府網(wǎng)站綜合防護(hù)系統(tǒng)（網(wǎng)防G01）進(jìn)行云安全監(jiān)測(cè)與防護(hù)。

第6章風(fēng)險(xiǎn)的應(yīng)對(duì)措施
為防止在加固過(guò)程中出現(xiàn)的異常狀況，所有被加固系統(tǒng)均應(yīng)在加固操作開(kāi)始前進(jìn)行完整的數(shù)據(jù)備份；

安全加固時(shí)間應(yīng)盡量選擇業(yè)務(wù)可中止的時(shí)段；

加固過(guò)程中，涉及修改文件等內(nèi)容時(shí)，將備份源文件在同級(jí)目錄中，以便回退操作；

安全加固完成后，需重啟主機(jī)，因此需要學(xué)校安排相應(yīng)的人員協(xié)助進(jìn)行加固；

在加固完成后，如果出現(xiàn)被加固系統(tǒng)無(wú)法正常工作，應(yīng)立即恢復(fù)所做各項(xiàng)配置變更，待業(yè)務(wù)應(yīng)用正常運(yùn)行后，再行協(xié)商后續(xù)加固工作的進(jìn)行方式。

<上一篇：小程序開(kāi)發(fā)-小程序制作-廣州小程序開(kāi)發(fā)公司-小程序在線客服設(shè)置>

<下一篇：素質(zhì)教育VS應(yīng)試教育！>

91精品捆绑蜜桃-久久久国产综合一区二区三区-久久国产成人高清精品亚洲-国产456乱叫一区二区三区

您選的網(wǎng)站制作公司安全嗎？

時(shí)間: 2018-10-24 分享新聞到

了解我們?nèi)绾螏椭鷮?shí)現(xiàn)目標(biāo)？

網(wǎng)站建設(shè)

解決方案

關(guān)于我們

91精品捆绑蜜桃-久久久国产综合一区二区三区-久久国产成人高清精品亚洲-国产456乱叫一区二区三区

您選的網(wǎng)站制作公司安全嗎？

時(shí)間: 2018-10-24 分享新聞到

了解我們?nèi)绾螏椭鷮?shí)現(xiàn)目標(biāo)？

網(wǎng)站建設(shè)

解決方案

關(guān)于我們

您選的網(wǎng)站制作公司安全嗎？

了解我們?nèi)绾螏椭鷮?shí)現(xiàn)目標(biāo)？