常见网站安全漏洞处理方法

1. htaccess文件可读

   修改apache配置文件httpd.conf

   AccessFileName  .htaccess  

2. 发现PHPINFO信息泄露漏洞

   一般是网站目录下放置了phpinfo函数文件,删除phpinfo.php

3. Tomcat示例文件未删除

   删除tomcat默认站点下的index.jsp

4. PHPSESSID已知会话确认攻击

   apache环境在根目录下建立.htaccess文件,设置

   <IfModule php5_module>

       php_value session.cookie_httponly true

   </IfModule>

   iis7及以上环境在根目录下建立web.config文件,设置

   <?xml version="1.0"?>

   <configuration>

   <system.web>

          <httpCookies httpOnlyCookies="true"  />

   </system.web>

   </configuration>
   

5.  Flash配置不当漏洞

   修改根目录crossdomain.xml,将domain中的域名更换成自己的域名,多个域名可以写多行

   <?xml version="1.0"?>

       <cross-domain-policy>

           <allow-access-from domain="*.test1.com" />

           <allow-access-from domain="*.test2.com" />

       </cross-domain-policy>

6. 跨站脚本Xss漏洞/sql注入漏洞/代码执行漏洞

   
   

   asp程序

   1.下载http://downinfo.myhostadmin.net/vps/asp.zip 

   2.解压后,将文件放到公共文件（如数据库的连接文件）所在目录

   3.在公共文件页面中加入代码

    <!--#include file="waf.asp"-->
   

   php:  

   1.下载http://downinfo.myhostadmin.net/vps/360webscan.zip

   2.解压后，整个文件夹放到网站根目录

   3.在网站的一个公用文件（如数据库的连接文件）中加入代码：

   if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){

       require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');

   } // 注意文件路径

   
   

   常用PHP建站系统的公用页面

   PHPCMS ：      \phpcms\base.php

   PHPWIND：     \phpwind\conf\baseconfig.php

   DEDECMS：     \data\common.inc.php

   Discuz：           \config\config_global.php

   Wordpress：    \wp-config-sample.php

   ECshop：         \data\config.php

   Metinfo：         \include\head.php

   HDwiki：          \config.php

7. Swfupload.swf跨站脚本攻击漏洞

   http://downinfo.myhostadmin.net/vps/swfupload.swf.zip

   下载压缩包解压替换Swfupload.swf,替换前备份自己的文件

   以下是swfupload的源码文件，如果你自己有开发能力，也可以自己重新编译打包

   http://downinfo.myhostadmin.net/vps/swfupload.swf.rar

8. 其他一些开源程序漏洞

   请联系程序官方更新升级补丁至最新版

来自 https://www.west.cn/faq/list.asp?unid=2242