59種常見(jiàn)web安全漏洞類型修復(fù)建議

59種常見(jiàn)web安全漏洞類型修復(fù)建議

漏洞等級(jí)漏洞類型1、高危漏洞AlibabaWeb服務(wù)器文件下載和遠(yuǎn)程命令執(zhí)行2、高危漏洞FormNowCGIShell命令執(zhí)行3、高危漏洞OracleWebListener遠(yuǎn)程命令執(zhí)行4、高危漏洞PHFCGI遠(yuǎn)程命令執(zhí)行5、高危漏洞UtilMindMaillist.cgi遠(yuǎn)程命令執(zhí)行6、高危漏洞已解密的登錄請(qǐng)求7、高危漏洞SQL注入漏洞8、高危漏洞XSS跨站腳本攻擊漏洞9、高危漏洞主機(jī)允許從任何域進(jìn)行flash訪問(wèn)10、高危漏洞遠(yuǎn)程文件保包含11、中危漏洞AllaireJRun2.3.X樣本源代碼泄露12、中危漏洞BannerRotating01特權(quán)升級(jí)13、中危漏洞BigBrother遠(yuǎn)程文件下載14、中危漏洞Htgrep文件內(nèi)容檢索15、中危漏洞MicrosoftFrontPageExtensions站點(diǎn)篡改16、中危漏洞應(yīng)用流程Subversion所用的Webevent管理權(quán)17、中危漏洞會(huì)話標(biāo)識(shí)未更新18、中危漏洞跨站點(diǎn)請(qǐng)求偽造19、中危漏洞通過(guò)框架釣魚(yú)20、中危漏洞鏈接注入（便于跨站請(qǐng)求偽造）21、中危漏洞緩慢http拒絕服務(wù)22、中危漏洞腳本庫(kù)版本較低VulnerableJavascriptlibraryBashShell歷史記錄文件檢索Cart32信息泄露、特權(quán)升級(jí)和拒絕服務(wù)CMME備份文件下載Flash參數(shù)AllowScriptAccess已設(shè)置為always

IBMBladeCenterAdvancedManagementModule信息泄露IBMWebSphereApplicationServer文件泄露iScouterPHPWebPortalMySQL密碼檢索MicrosoftFrontPage配置信息泄露Oracle日志文件信息泄露PHPphpinfo.php信息泄露TalentsoftWebPlusServer源代碼泄露和信息泄露發(fā)現(xiàn)MicrosoftFrontPageServerExtensions任務(wù)列表發(fā)現(xiàn)Oracle錯(cuò)誤日志發(fā)現(xiàn)臨時(shí)目錄發(fā)現(xiàn)數(shù)據(jù)庫(kù)錯(cuò)誤模式啟用了不安全的“PUT,DELETE,TRACE,OPTIONS”HTTP方法缺少“Content-Security-Policy”頭缺少“X-Content-Type-Options”頭缺少“X-XSS-Protection”頭自動(dòng)填寫(xiě)未對(duì)密碼字段禁用的HTML屬性發(fā)現(xiàn)壓縮目錄歸檔文件下載永久Cookie包含敏感的會(huì)話信息檢測(cè)到隱藏目錄會(huì)話cookie中缺少HttpOnly屬性缺少跨幀腳本編制防御不安全的第三方鏈接(target="_blank")敏感頁(yè)面可以緩存敏感目錄Possiblesensitivedirectories52、信息漏洞發(fā)現(xiàn)電子郵件地址模式53、信息漏洞客戶端(JavaScript)Cookie引用54、信息漏洞應(yīng)用程序錯(cuò)誤

55、信息漏洞JSON中反映的未清理用戶輸入56、信息漏洞錯(cuò)誤頁(yè)面路徑泄露57、信息漏洞HTML注釋敏感信息泄露58、信息漏洞整數(shù)溢出59、信息漏洞檢測(cè)到應(yīng)用程序測(cè)試腳本目錄TOC\o"1-5"\h\z\o"CurrentDocument"1、高危漏洞AlibabaWeb服務(wù)器文件下載和遠(yuǎn)程命令執(zhí)行1\o"CurrentDocument"2、高危漏洞FormNowCGIShell命令執(zhí)行1\o"CurrentDocument"3、高危漏洞OracleWebListener遠(yuǎn)程命令執(zhí)行1\o"CurrentDocument"4、高危漏洞PHFCGI遠(yuǎn)程命令執(zhí)行2\o"CurrentDocument"5、高危漏洞UtilMindMaillist.cgi遠(yuǎn)程命令執(zhí)行2\o"CurrentDocument"6、高危漏洞已解密的登錄請(qǐng)求2\o"CurrentDocument"7、高危漏洞SQL注入2\o"CurrentDocument"8、高危漏洞跨站點(diǎn)腳本編制3\o"CurrentDocument"9、高危漏洞主機(jī)允許從任何域進(jìn)行flash訪問(wèn)3\o"CurrentDocument"10、高危漏洞遠(yuǎn)程文件保包含3\o"CurrentDocument"11、中危漏洞AllaireJRun2.3.X樣本源代碼泄露4\o"CurrentDocument"12、中危漏洞BannerRotating01特權(quán)升級(jí)4\o"CurrentDocument"13、中危漏洞BigBrother遠(yuǎn)程文件下載4\o"CurrentDocument"14、中危漏洞Htgrep文件內(nèi)容檢索5\o"CurrentDocument"15、中危漏洞MicrosoftFrontPageExtensions站點(diǎn)篡改5\o"CurrentDocument"16、中危漏洞應(yīng)用流程Subversion所用的Webevent管理權(quán)5\o"CurrentDocument"17、中危漏洞會(huì)話標(biāo)識(shí)未更新5\o"CurrentDocument"18、中危漏洞跨站點(diǎn)請(qǐng)求偽造6\o"CurrentDocument"19、中危漏洞通過(guò)框架釣魚(yú)6\o"CurrentDocument"20、中危漏洞鏈接注入（便于跨站請(qǐng)求偽造）6\o"CurrentDocument"21、中危漏洞SlowHTTPDenialofServiceAttack7\o"CurrentDocument"22、中危漏洞腳本庫(kù)版本較低VulnerableJavascriptlibrary7\o"CurrentDocument"23、低危漏洞BashShell歷史記錄文件檢索7\o"CurrentDocument"24、低危漏洞Cart32信息泄露、特權(quán)升級(jí)和拒絕服務(wù)7\o"CurrentDocument"25、低危漏洞CMME備份文件下載8\o"CurrentDocument"26、低危漏洞Flash參數(shù)AllowScriptAccess已設(shè)置為always8\o"CurrentDocument"27、低危漏洞IBMBladeCenterAdvancedManagementModule信息泄露8\o"CurrentDocument"28、低危漏洞IBMWebSphereApplicationServer文件泄露9\o"CurrentDocument"29、低危漏洞iScouterPHPWebPortalMySQL密碼檢索9\o"CurrentDocument"30、低危漏洞MicrosoftFrontPage配置信息泄露9\o"CurrentDocument"31、低危漏洞Oracle日志文件信息泄露10\o"CurrentDocument"32、低危漏洞PHPphpinfo.php信息泄露10\o"CurrentDocument"33、低危漏洞TalentsoftWebPlusServer源代碼泄露和信息泄露10\o"CurrentDocument"34、低危漏洞發(fā)現(xiàn)MicrosoftFrontPageServerExtensions任務(wù)列表1035、低危漏洞發(fā)現(xiàn)Oracle錯(cuò)誤日志11\o"CurrentDocument"36、低危漏洞發(fā)現(xiàn)臨時(shí)目錄11\o"CurrentDocument"37、低危漏洞發(fā)現(xiàn)數(shù)據(jù)庫(kù)錯(cuò)誤模式11\o"CurrentDocument"38、低危漏洞啟用了不安全HTTP方法12\o"CurrentDocument"39、低危漏洞缺少“Content-Security-Policy”頭12\o"CurrentDocument"40、低危漏洞缺少“X-Content-Type-Options”頭12\o"CurrentDocument"41、低危漏洞缺少“X-XSS-Protection”頭12\o"CurrentDocument"42、低危漏洞自動(dòng)填寫(xiě)未對(duì)密碼字段禁用的HTML屬性13\o"CurrentDocument"43、低危漏洞發(fā)現(xiàn)壓縮目錄13\o"CurrentDocument"44、低危漏洞歸檔文件下載13\o"CurrentDocument"45、低危漏洞永久Cookie包含敏感的會(huì)話信息14\o"CurrentDocument"46、低危漏洞檢測(cè)到隱藏目錄14\o"CurrentDocument"47、低危漏洞會(huì)話cookie中缺少HttpOnly屬性14\o"CurrentDocument"48、低危漏洞缺少跨幀腳本編制防御14\o"CurrentDocument"49、低危漏洞不安全的第三方鏈接(target="_blank")15\o"CurrentDocument"50、低危漏洞敏感頁(yè)面可以緩存15\o"CurrentDocument"51、低危漏洞敏感目錄Possiblesensitivedirectories15\o"CurrentDocument"52、信息漏洞發(fā)現(xiàn)電子郵件地址模式16\o"CurrentDocument"53、信息漏洞客戶端(JavaScript)Cookie引用16\o"CurrentDocument"54、信息漏洞應(yīng)用程序錯(cuò)誤16\o"CurrentDocument"55、信息漏洞JSON中反映的未清理用戶輸入16\o"CurrentDocument"56、信息漏洞錯(cuò)誤頁(yè)面路徑泄露17\o"CurrentDocument"57、信息漏洞HTML注釋敏感信息泄露17\o"CurrentDocument"58、信息漏洞整數(shù)溢出17\o"CurrentDocument"59、信息漏洞檢測(cè)到應(yīng)用程序測(cè)試腳本181、高危漏洞AlibabaWeb服務(wù)器文件下載和遠(yuǎn)程命令執(zhí)行漏洞：AlibabaWeb服務(wù)器文件下載和遠(yuǎn)程命令執(zhí)行風(fēng)險(xiǎn)：可能會(huì)在Web服務(wù)器上運(yùn)行遠(yuǎn)程命令。這通常意味著完全破壞服務(wù)器及其內(nèi)容原因：未安裝第三方產(chǎn)品的最新補(bǔ)丁或最新修訂程序修復(fù)建議：請(qǐng)聯(lián)系您的產(chǎn)品供應(yīng)商，以了解最近是否推出了補(bǔ)丁或修訂程序2、高危漏洞FormNowCGIShell命令執(zhí)行漏洞：FormNowCGIShell命令執(zhí)行風(fēng)險(xiǎn)：可能會(huì)在Web服務(wù)器上運(yùn)行遠(yuǎn)程命令。這通常意味著完全破壞服務(wù)器及其內(nèi)容原因：Web站點(diǎn)上安裝了沒(méi)有已知補(bǔ)丁且易受攻擊的第三方軟件建議修復(fù)：請(qǐng)聯(lián)系您的產(chǎn)品供應(yīng)商，以了解最近是否推出了補(bǔ)丁或修訂程序3、高危漏洞OracleWebListener遠(yuǎn)程命令執(zhí)行漏洞：OracleWebListener遠(yuǎn)程命令執(zhí)行風(fēng)險(xiǎn)：可能會(huì)在Web服務(wù)器上運(yùn)行遠(yuǎn)程命令。這通常意味著完全破壞服務(wù)器及其內(nèi)容原因：未安裝第三方產(chǎn)品的最新補(bǔ)丁或最新修訂程序修復(fù)建議：從/ows-bin虛擬目錄中除去批處理文件4、高危漏洞PHFCGI遠(yuǎn)程命令執(zhí)行漏洞：PHFCGI遠(yuǎn)程命令執(zhí)行風(fēng)險(xiǎn)：可能會(huì)在Web服務(wù)器上運(yùn)行遠(yuǎn)程命令。這通常意味著完全破壞服務(wù)器及其內(nèi)容原因：未安裝第三方產(chǎn)品的最新補(bǔ)丁或最新修訂程序修復(fù)建議：除去/cgi-bin/phf腳本，并更新Web服務(wù)器軟件5、高危漏洞UtilMindMaillist.cgi遠(yuǎn)程命令執(zhí)行漏洞：UtilMindMaillist.cgi遠(yuǎn)程命令執(zhí)行風(fēng)險(xiǎn)：可能會(huì)在Web服務(wù)器上運(yùn)行遠(yuǎn)程命令。這通常意味著完全破壞服務(wù)器及其內(nèi)容原因：未安裝第三方產(chǎn)品的最新補(bǔ)丁或最新修訂程序修復(fù)建議：從服務(wù)器中除去UtilMindMaillist.cgi6、高危漏洞已解密的登錄請(qǐng)求漏洞：已解密的登錄請(qǐng)求風(fēng)險(xiǎn)：碼明文傳輸一般存在于web網(wǎng)站登錄頁(yè)面，用戶名或者密碼采用了明文傳輸，可能會(huì)竊取或操縱客戶會(huì)話和cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)，密容易被嗅探軟件截取。原因：未對(duì)用戶輸入正確執(zhí)行危險(xiǎn)字符清理修復(fù)建議：發(fā)送敏感信息時(shí)，始終使用SSL和POST（主體）參數(shù)。對(duì)賬號(hào)密碼進(jìn)行加密7、高危漏洞SQL注入漏洞：SQL注入風(fēng)險(xiǎn)：可能會(huì)查看、修改或刪除數(shù)據(jù)庫(kù)條目和表原因：未對(duì)用戶輸入正確執(zhí)行危險(xiǎn)字符清理修復(fù)建議：查看危險(xiǎn)字符注入的可能解決方案8、高危漏洞跨站點(diǎn)腳本編制漏洞：跨站點(diǎn)腳本編制風(fēng)險(xiǎn)：可能會(huì)竊取或操縱客戶會(huì)話和cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)原因：未對(duì)用戶輸入正確執(zhí)行危險(xiǎn)字符清理修復(fù)建議：查看危險(xiǎn)字符注入的可能解決方案9、高危漏洞主機(jī)允許從任何域進(jìn)行flash訪問(wèn)漏洞：主機(jī)允許從任何域進(jìn)行flash訪問(wèn)風(fēng)險(xiǎn)：可能會(huì)竊取或操縱客戶會(huì)話和cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)原因：Web服務(wù)器或應(yīng)用程序服務(wù)器是以不安全的方式配置的修復(fù)建議：設(shè)置crossdomain.xml文件中allow-accessfrom實(shí)體的域?qū)傩?，以包含特定域名而不是任何域。把設(shè)置的“*”符號(hào)用IP地址段表示10、高危漏洞遠(yuǎn)程文件保包含漏洞（10）：遠(yuǎn)程文件保包含風(fēng)險(xiǎn)：該漏洞允許攻擊者包含一個(gè)遠(yuǎn)程的文件，一般是遠(yuǎn)程服務(wù)器上的預(yù)先設(shè)置好的腳本，這種漏洞是由于瀏覽器對(duì)于用戶輸入沒(méi)有進(jìn)行檢測(cè)，導(dǎo)致不同程度的信息泄露、拒絕服務(wù)攻擊甚至在目標(biāo)服務(wù)器上執(zhí)行代碼原因：未對(duì)url檢測(cè)限制修復(fù)建議：1.嚴(yán)格判斷包含的參數(shù)是否外部可控，因?yàn)槲募┒蠢贸晒εc否的關(guān)鍵點(diǎn)就在于被包含的文件是否可被外部控制；2.路徑限制：限制被包含的文件只能在某一文件夾內(nèi)，一定要禁止目錄跳轉(zhuǎn)字符，如：“../”；3.包含文件驗(yàn)證：驗(yàn)證被包含的文件是否是白名單中的一員；4.盡量不要使用動(dòng)態(tài)包含，可以在需要包含的頁(yè)面固定寫(xiě)好，如：include（"head.php"）;。11、中危漏洞AllaireJRun2.3.X樣本源代碼泄露漏洞：AllaireJRun2.3.X樣本源代碼泄露風(fēng)險(xiǎn)：可能會(huì)查看Web服務(wù)器（在Web服務(wù)器用戶的許可權(quán)限制下）上的任何文件（例如，數(shù)據(jù)庫(kù)、用戶信息或配置文件）的內(nèi)容原因：在Web站點(diǎn)上安裝了缺省樣本腳本或目錄修復(fù)建議:為AllaireJrun安裝更新或者從生產(chǎn)服務(wù)器中除去任何樣本腳本12、中危漏洞BannerRotating01特權(quán)升級(jí)漏洞：BannerRotating01特權(quán)升級(jí)風(fēng)險(xiǎn)：可能會(huì)升級(jí)用戶特權(quán)并通過(guò)Web應(yīng)用程序獲取管理許可權(quán)原因：許可權(quán)不適當(dāng)/已將ACL設(shè)置為文件/目錄修復(fù)建議：拒絕從web-server訪問(wèn)adpassword.txt13、中危漏洞BigBrother遠(yuǎn)程文件下載漏洞：BigBrother遠(yuǎn)程文件下載風(fēng)險(xiǎn)：可能會(huì)查看Web服務(wù)器（在Web服務(wù)器用戶的許可權(quán)限制下）上的任何文件（例如，數(shù)據(jù)庫(kù)、用戶信息或配置文件）的內(nèi)容原因：未安裝第三方產(chǎn)品的最新補(bǔ)丁或最新修訂程序修復(fù)建議：實(shí)施中所描述的變通方法或升級(jí)至BigBrother的最新版本14、中危漏洞Htgrep文件內(nèi)容檢索漏洞：Htgrep文件內(nèi)容檢索風(fēng)險(xiǎn)：可能會(huì)查看Web服務(wù)器（在Web服務(wù)器用戶的許可權(quán)限制下）上的任何文件（例如，數(shù)據(jù)庫(kù)、用戶信息或配置文件）的內(nèi)容原因：未安裝第三方產(chǎn)品的最新補(bǔ)丁或最新修訂程序修復(fù)建議：升級(jí)至HtgrepCGI的最新版本15、中危漏洞MicrosoftFrontPageExtensions站點(diǎn)篡改漏洞：MicrosoftFrontPageExtensions站點(diǎn)篡改風(fēng)險(xiǎn)：可能會(huì)在Web服務(wù)器上上載、修改或刪除Web頁(yè)面、腳本和文件原因：許可權(quán)不適當(dāng)/已將ACL設(shè)置為文件/目錄修復(fù)建議：對(duì)FrontPage擴(kuò)展文件設(shè)置適當(dāng)?shù)脑S可權(quán)16、中危;洞應(yīng)用流程Subversion所用的Webevent管理權(quán)16、中危;漏洞：應(yīng)用流程Subversion所用的Webevent管理權(quán)風(fēng)險(xiǎn)：可能會(huì)升級(jí)用戶特權(quán)并通過(guò)Web應(yīng)用程序獲取管理許可權(quán)原因：Web站點(diǎn)上安裝了沒(méi)有已知補(bǔ)丁且易受攻擊的第三方軟件修復(fù)建議：刪除firstime.pl并將其升級(jí)至最新版本17、中危漏洞會(huì)話標(biāo)識(shí)未更新漏洞：會(huì)話標(biāo)識(shí)未更新風(fēng)險(xiǎn)：可能會(huì)竊取或操縱客戶會(huì)話和cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)原因：Web應(yīng)用程序編程或配置不安全修復(fù)建議：登錄之后更改會(huì)話標(biāo)識(shí)符值18、中危漏洞跨站點(diǎn)請(qǐng)求偽造漏洞：跨站點(diǎn)請(qǐng)求偽造風(fēng)險(xiǎn)：可能會(huì)竊取或操縱客戶會(huì)話和cookie,它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)CSRF是跨站請(qǐng)求偽造，是冒充用戶在站內(nèi)的正常操作。通常由于服務(wù)端沒(méi)有對(duì)請(qǐng)求頭做嚴(yán)格過(guò)濾引起的。CSRF會(huì)造成密碼重置，用戶偽造等問(wèn)題，可能引發(fā)嚴(yán)重后果。利用網(wǎng)站權(quán)限校驗(yàn)方面的漏洞在用戶不知覺(jué)的情況下發(fā)送請(qǐng)求，達(dá)到“偽裝”用戶的目的。攻擊者利用CSRF實(shí)現(xiàn)的攻擊主要有以下幾種：攻擊者能夠欺騙受害用戶完成該受害者所允許的任一狀態(tài)改變的操作，比如：更新賬號(hào)細(xì)節(jié)，完成購(gòu)物，注銷(xiāo)甚至登錄等操作，獲取用戶的隱私數(shù)據(jù)，配合其他漏洞攻擊原因：應(yīng)用程序使用的認(rèn)證方法不充分修復(fù)建議：驗(yàn)證“Referer”頭的值，并對(duì)每個(gè)提交的表單使用one-time-nonce19、中危漏洞通過(guò)框架釣魚(yú)漏洞：通過(guò)框架釣魚(yú)風(fēng)險(xiǎn)：可能會(huì)勸說(shuō)初級(jí)用戶提供諸如用戶名、密碼、信用卡號(hào)、社會(huì)保險(xiǎn)號(hào)等敏感信息原因：未對(duì)用戶輸入正確執(zhí)行危險(xiǎn)字符清理修復(fù)建議：查看危險(xiǎn)字符注入的可能解決方案20、中危漏洞鏈接注入（便于跨站請(qǐng)求偽造）漏洞：鏈接注入（便于跨站請(qǐng)求偽造）風(fēng)險(xiǎn)：可能會(huì)竊取或操縱客戶會(huì)話和cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)，可能會(huì)勸說(shuō)初級(jí)用戶提供諸如用戶名、密碼、信用卡號(hào)、社會(huì)保險(xiǎn)號(hào)等敏感信息，可能會(huì)在Web服務(wù)器上上載、修改或刪除Web頁(yè)面、腳本和文件原因：未對(duì)用戶輸入正確執(zhí)行危險(xiǎn)字符清理修復(fù)建議：查看危險(xiǎn)字符注入的可能解決方案21、中危漏洞SlowHTTPDenialofServiceAttack漏洞：SlowHTTPDenialofServiceAttack風(fēng)險(xiǎn)：當(dāng)惡意攻擊者以很低的速率發(fā)起HTTP請(qǐng)求，使得服務(wù)端長(zhǎng)期保持連接，這樣使得服務(wù)端容易造成占用所有可用連接，導(dǎo)致拒絕服務(wù)。比如10-100S發(fā)一個(gè)字節(jié)，hold住這個(gè)連接不斷開(kāi)。這樣當(dāng)客戶端連接多了后，占用住了webserver的所有可用連接，從而導(dǎo)致DOS。原因：請(qǐng)求沒(méi)做限制修復(fù)建議：建議http頭部傳輸?shù)脑S可時(shí)間進(jìn)行限制22、中危漏洞腳本庫(kù)版本較低VulnerableJavascriptlibrary漏洞：腳本庫(kù)版本較低VulnerableJavascriptlibrary風(fēng)險(xiǎn)：正在使用易受攻擊的Javascript庫(kù)。此版本的Javascript庫(kù)報(bào)告了一個(gè)或多個(gè)漏洞。原因：使用了舊腳本庫(kù)修復(fù)建議：建議升級(jí)js最新版本。23、低危漏洞BashShell歷史記錄文件檢索漏洞：BashShell歷史記錄文件檢索風(fēng)險(xiǎn)：可能會(huì)收集有關(guān)Web應(yīng)用程序的敏感信息，如用戶名、密碼、機(jī)器名和/或敏感文件位原因：Web服務(wù)器或應(yīng)用程序服務(wù)器是以不安全的方式配置的修復(fù)建議：除去Bashshell歷史記錄文件或限制對(duì)該文件的訪問(wèn)24、低危漏洞Cart32信息泄露、特權(quán)升級(jí)和拒絕服務(wù)漏洞：Cart32信息泄露、特權(quán)升級(jí)和拒絕服務(wù)風(fēng)險(xiǎn)：可能會(huì)升級(jí)用戶特權(quán)并通過(guò)Web應(yīng)用程序獲取管理許可權(quán)可能會(huì)收集有關(guān)Web應(yīng)用程序的敏感信息，如用戶名、密碼、機(jī)器名和/或敏感文件位置原因：未安裝第三方產(chǎn)品的最新補(bǔ)丁或最新修訂程序修復(fù)建議：升級(jí)至Cart32的最新版本25、低危漏洞CMME備份文件下載漏洞：CMME備份文件下載風(fēng)險(xiǎn)：可能會(huì)收集有關(guān)Web應(yīng)用程序的敏感信息，如用戶名、密碼、機(jī)器名和/或敏感文件位置原因：Web站點(diǎn)上安裝了沒(méi)有已知補(bǔ)丁且易受攻擊的第三方軟件修復(fù)建議：請(qǐng)聯(lián)系您的產(chǎn)品供應(yīng)商，以了解最近是否推出了補(bǔ)丁或修訂程序26、低危漏洞Flash參數(shù)AllowScriptAccess已設(shè)置為always漏洞：Flash參數(shù)AllowScriptAccess已設(shè)置為always風(fēng)險(xiǎn)：可能會(huì)竊取或操縱客戶會(huì)話和cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)原因：Web應(yīng)用程序編程或配置不安全修復(fù)建議：將AllowScriptAccess參數(shù)設(shè)置為“sameDomain”，它會(huì)告訴Flash播放器僅從同一個(gè)域加載作為父級(jí)SWF的SWF文件才會(huì)對(duì)主管Web頁(yè)面具有腳本訪問(wèn)權(quán)限27、低危漏洞IBMBladeCenterAdvancedManagementModule信息泄露漏洞：IBMBladeCenterAdvancedManagementModule信息泄露風(fēng)險(xiǎn)：可能會(huì)收集有關(guān)Web應(yīng)用程序的敏感信息，如用戶名、密碼、機(jī)器名和/或敏感文件位置原因：未安裝第三方產(chǎn)品的最新補(bǔ)丁或最新修訂程序修復(fù)建議：升級(jí)至IBMBladeCenterAdvancedManagementModule的最新版本28、低危漏洞IBMWebSphereApplicationServer文件泄露漏洞：IBMWebSphereApplicationServer文件泄露風(fēng)險(xiǎn)：可能會(huì)查看Web服務(wù)器（在Web服務(wù)器用戶的許可權(quán)限制下）上的任何文件（例如，數(shù)據(jù)庫(kù)、用戶信息或配置文件）的內(nèi)容原因：未安裝第三方產(chǎn)品的最新補(bǔ)丁或最新修訂程序修復(fù)建議：應(yīng)用APARPK81387或IBMWebSphereApplicationServer修訂包3（或更高版本）29、低危漏洞iScouterPHPWebPortalMySQL密碼檢索漏洞：iScouterPHPWebPortalMySQL密碼檢索風(fēng)險(xiǎn)：可能會(huì)下載或查看配置文件的內(nèi)容，其中可能包含諸如用戶名和密碼之類的重要信息原因：未安裝第三方產(chǎn)品的最新補(bǔ)丁或最新修訂程序修復(fù)建議：將config.inc文件重命名為config.inc.php，或者將其除去30、低危漏洞MicrosoftFrontPage配置信息泄露漏洞：MicrosoftFrontPage配置信息泄露風(fēng)險(xiǎn)：可能會(huì)下載或查看配置文件的內(nèi)容，其中可能包含諸如用戶名和密碼之類的重要信息原因：未安裝第三方產(chǎn)品的最新補(bǔ)丁或最新修訂程序修復(fù)建議：升級(jí)至FrontPage的最新版本31、低危漏洞Oracle日志文件信息泄露漏洞：Oracle日志文件信息泄露風(fēng)險(xiǎn)：可能會(huì)收集有關(guān)Web應(yīng)用程序的敏感信息，如用戶名、密碼、機(jī)器名和/或敏感文件位置原因：Web服務(wù)器或應(yīng)用程序服務(wù)器是以不安全的方式配置的修復(fù)建議：關(guān)閉跟蹤，限制對(duì)日志文件的訪問(wèn)，或者將其除去32、低危漏洞PHPphpinfo.php信息泄露漏洞：PHPphpinfo.php信息泄露風(fēng)險(xiǎn)：可能會(huì)泄露服務(wù)器環(huán)境變量，這可能會(huì)幫助攻擊者開(kāi)展針對(duì)Web應(yīng)用程序的進(jìn)一步攻擊原因：在Web站點(diǎn)上安裝了缺省樣本腳本或目錄修復(fù)建議：從站點(diǎn)中除去phpinfo.php腳本和其他所有缺省腳本33、低危漏洞TalentsoftWebPlusServer源代碼泄露和信息泄露漏洞：TalentsoftWebPlusServer源代碼泄露和信息泄露風(fēng)險(xiǎn)：可能會(huì)檢索服務(wù)器端腳本的源代碼，這可能會(huì)泄露應(yīng)用程序邏輯及其他諸如用戶名和密碼之類的敏感信息原因：未安裝第三方產(chǎn)品的最新補(bǔ)丁或最新修訂程序修復(fù)建議：升級(jí)至WebPlus的最新版本34、低危漏洞發(fā)現(xiàn)MicrosoftFrontPageServerExtensions任務(wù)列表漏洞：發(fā)現(xiàn)MicrosoftFrontPageServerExtensions任務(wù)列表風(fēng)險(xiǎn)：可能會(huì)收集有關(guān)Web應(yīng)用程序的敏感信息，如用戶名、密碼、機(jī)

器名和/或敏感文件位置原因：許可權(quán)不適當(dāng)/已將ACL設(shè)置為文件/目錄修復(fù)建議：限制對(duì)MicrosoftFrontpageServerExtension"任務(wù)列表”文件的訪問(wèn)35、低危;35、低危;洞發(fā)現(xiàn)Oracle錯(cuò)誤日志漏洞：發(fā)現(xiàn)Oracle錯(cuò)誤日志風(fēng)險(xiǎn)：可能會(huì)收集有關(guān)Web應(yīng)用程序的敏感信息，如用戶名、密碼、機(jī)器名和/或敏感文件位置原因：Web服務(wù)器或應(yīng)用程序服務(wù)器是以不安全的方式配置的修復(fù)建議：除去Oracle錯(cuò)誤日志或限制對(duì)它的訪問(wèn)36、低危漏洞發(fā)現(xiàn)臨時(shí)目錄漏洞：發(fā)現(xiàn)臨時(shí)目錄風(fēng)險(xiǎn)：可能會(huì)檢索有關(guān)站點(diǎn)文件系統(tǒng)結(jié)構(gòu)的信息，這可能會(huì)幫助攻擊者映射此Web站點(diǎn)原因：Web服務(wù)器或應(yīng)用程序服務(wù)器是以不安全的方式配置的修復(fù)建議：對(duì)禁止的資源發(fā)布“404-NotFound”響應(yīng)狀態(tài)代碼，或者將其完全除去37、低危漏洞發(fā)現(xiàn)數(shù)據(jù)庫(kù)錯(cuò)誤模式漏洞：發(fā)現(xiàn)數(shù)據(jù)庫(kù)錯(cuò)誤模式風(fēng)險(xiǎn)：可能會(huì)查看、修改或刪除數(shù)據(jù)庫(kù)條目和表原因：未對(duì)用戶輸入正確執(zhí)行危險(xiǎn)字符清理修復(fù)建議：查看危險(xiǎn)字符注入的可能解決方案38、低危漏洞啟用了不安全HTTP方法漏洞：?jiǎn)⒂昧瞬话踩摹癙UT,DELETE,TRACE,OPTIONS”HTTP方法風(fēng)險(xiǎn)：可能會(huì)在Web服務(wù)器上上載、修改或刪除Web頁(yè)面、腳本和文件原因：Web服務(wù)器或應(yīng)用程序服務(wù)器是以不安全的方式配置的建議修復(fù)：禁用WebDAV，或者禁止不需要的HTTP方法。39、低危漏洞缺少“Content-Security-Policy”頭漏洞：缺少“Content-Security-Policy”頭風(fēng)險(xiǎn)：可能會(huì)收集有關(guān)Web應(yīng)用程序的敏感信息，如用戶名、密碼、機(jī)器名和/或敏感文件位置可能會(huì)勸說(shuō)初級(jí)用戶提供諸如用戶名、密碼、信用卡號(hào)、社會(huì)保險(xiǎn)號(hào)等敏感信息原因：Web應(yīng)用程序編程或配置不安全建議修復(fù)：將您的服務(wù)器配置為使用“Content-Security-Policy”頭40、低危漏洞缺少“X-Content-Type-Options”頭漏洞：缺少“X-Content-Type-Options”頭風(fēng)險(xiǎn)：可能會(huì)勸說(shuō)初級(jí)用戶提供諸如用戶名、密碼、信用卡號(hào)、社會(huì)保險(xiǎn)號(hào)等敏感信息可能會(huì)收集有關(guān)Web應(yīng)用程序的敏感信息，如用戶名、密碼、機(jī)器名和/或敏感文件位置原因：Web應(yīng)用程序編程或配置不安全修復(fù)建議：將您的服務(wù)器配置為使用“X-Content-Type-Options”頭41、低危漏洞缺少“X-XSS-Protection”頭漏洞：缺少“X-XSS-Protection”頭風(fēng)險(xiǎn)：可能會(huì)收集有關(guān)Web應(yīng)用程序的敏感信息，如用戶名、密碼、機(jī)器名和/或敏感文件位置可能會(huì)勸說(shuō)初級(jí)用戶提供諸如用戶名、密碼、信用卡號(hào)、社會(huì)保險(xiǎn)號(hào)等敏感信息原因：Web應(yīng)用程序編程或配置不安全修復(fù)建議：將您的服務(wù)器配置為使用“X-XSS-Protection”頭42、低危漏洞自動(dòng)填寫(xiě)未對(duì)密碼字段禁用的HTML屬性漏洞：自動(dòng)填寫(xiě)未對(duì)密碼字段禁用的HTML屬性風(fēng)險(xiǎn)：可能會(huì)繞開(kāi)Web應(yīng)用程序的認(rèn)證機(jī)制原因：Web應(yīng)用程序編程或配置不安全修復(fù)建議：將“autocomplete”屬性正確設(shè)置為“off”43、低危漏洞發(fā)現(xiàn)壓縮目錄漏洞：發(fā)現(xiàn)壓縮目錄風(fēng)險(xiǎn)：可能會(huì)檢索服務(wù)器端腳本的源代碼，這可能會(huì)泄露應(yīng)用程序邏輯及其他諸如用戶名和密碼之類的敏感信息原因：Web應(yīng)用程序編程或配置不安全修復(fù)建議：除去壓縮目錄文件或限制對(duì)它的訪問(wèn)44、低危漏洞歸檔文件下載漏洞：歸檔文件下載風(fēng)險(xiǎn)：可能會(huì)下載臨時(shí)腳本文件，這會(huì)泄露應(yīng)用程序邏輯及其他諸如用戶名和密碼之類的敏感信息原因：在生產(chǎn)環(huán)境中留下臨時(shí)文件修復(fù)建議：除去虛擬目錄中的舊版本文件45、低危漏洞永久Cookie包含敏感的會(huì)話信息漏洞：永久Cookie包含敏感的會(huì)話信息風(fēng)險(xiǎn)：可能會(huì)竊取保存在磁盤(pán)上作為永久cookie的會(huì)話信息（cookie）原因：Web應(yīng)用程序?qū)⒚舾械臅?huì)話信息存儲(chǔ)在永久cookie中（磁盤(pán)上）修復(fù)建議：避免在永久cookie中存儲(chǔ)敏感的會(huì)話信息46、低危漏洞檢測(cè)到隱藏目錄漏洞：檢測(cè)到隱藏目錄風(fēng)險(xiǎn)：可能會(huì)檢索有關(guān)站點(diǎn)文件系統(tǒng)結(jié)構(gòu)的信息，這可能會(huì)幫助攻擊者映射此Web站點(diǎn)原因：Web服務(wù)器或應(yīng)用程序服務(wù)器是以不安全的方式配置的修復(fù)建議：將返回的403頁(yè)面改成404頁(yè)面，則黑客就無(wú)法判別到底訪問(wèn)的目錄是不存在還是禁止訪問(wèn)了47、低危漏洞會(huì)話cookie中缺少HttpOnly屬性漏洞：會(huì)話cookie中缺少HttpOnly屬性風(fēng)險(xiǎn)：可能會(huì)竊取或操縱客戶會(huì)話和cookie，它們可能用于模仿合法用戶，從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)原因：Web應(yīng)用程序設(shè)置了缺少HttpOnly屬性的會(huì)話cookie修復(fù)建議：向所有會(huì)話cookie添加"HttpOnly”屬性48、低危漏洞缺少跨幀腳本編制防御漏洞：缺少跨幀腳本編制防御（1）風(fēng)險(xiǎn)：可能會(huì)收集有關(guān)Web應(yīng)用程序的敏感信息，如用戶名、密碼、機(jī)器名和/或敏感文件位置可能會(huì)勸說(shuō)初級(jí)用戶提供諸如用戶名、密碼、信用卡號(hào)、社會(huì)保險(xiǎn)號(hào)等敏感信息原因：Web應(yīng)用程序編程或配置不安全修復(fù)建議：將您的服務(wù)器配置為使用“X-Frame-Options”頭49、低危漏洞不安全的第三方鏈接(target="_blankn)漏洞：不安全的第三方鏈接(target="_blank"