最近由于网监要求,修复了一些不常见的网站漏洞,分享下

其实有些漏洞都是低风险的,我觉得不需要修复,但是网监有要求,一定要修复,不修复就关网站,只好彻夜研究修复,今天终于通过检测了,分享下修复方法

漏洞描述
4.1.1    直接访问后台管理页面(中)
4.1.1.1    漏洞情况
漏洞链接页面:
http://www.xxx.com/admin/login.asp

4.1.1.2    漏洞危害
网站后台是管理整个网站信息的平台,相当于一个永远对外开放的WEBSHELL,只要攻击者知道网站后台地址和登录帐户信息,就可利用网站后台可以控制整个网站,并通过提权,甚至可以控制整个服务

我的修复方法

.修改默认后台管理网址
将原默网址http://www.xxx.com/admin修改为更加复杂的后台网址
http://www.xxx.com/admin_wax5451282b7ccc

4.1.2    明文传送用户凭据信息(低)

4.1.2.2    漏洞危害
登录请求(例如:用户名、密码、电子邮件地址、社会安全号码等)被发送到服务器的过程中并未采用通讯加密协议或加密。恶意人员可通过数据截包实现网站管理员用户名、密码信息的截获。

我的修复方法

为后台管理员登录增加了管理员短信验证码。
管理员登录时,需要点击发送短信验证码按钮,并通过预设的手机接收短信验证码进行登录。该验证码24小时之内有效且只能成功登录一次。

4.1.3    ASP.NET版本泄漏(低) (天哪,也要修复吗,网站是asp程序)
4.1.3.1    漏洞情况
4.1.3.2    漏洞危害
HTTP头会泄漏ASP.NET版本信息,此信息可被用于发动进一步的攻击。

我的修复方法
在web.config中加入了以下代码

4.1.4    点击劫持:X-Frame-Options头缺失(低)

4.1.4.2    漏洞危害点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。

我的修复方法
在web.config中加入了以下代码

4.1.5    未设置Cookie的HttpOnly属性(低) (这是什么鬼啊,好难修复哎)

4.1.5.2    漏洞危害在应用程序测试过程中,检测到所测试的 Web 应用程序设置了不含“HttpOnly”属性的会话 cookie。由于此会话 cookie 不包含“HttpOnly”属性,因此注入站点的恶意脚本可能访问此 cookie,并窃取它的值。任何存储在会话令牌中的信息都可能被窃取,并在稍后用于身份盗窃或用户伪装。

我的修复方法
在web.config中设置url重写规则,重写网站cookies规则,以达到所有cookies的HttpOnly属性均为真

修复之后用谷歌浏览器,查看cookies里面 http下面会有个勾

4.1.6    启用了不安全的HTTP方法(低)
漏洞情况

漏洞危害

4.1.6.2    漏洞危害
HTTP协议提供了一些方法,这些方法可用于在服务器上执行一些动作。这些方法原本是用来帮助开发人员部署和测试HTTP应用程序的。但是,如果服务器没有被正确配置,这些方法就有可能被恶意地利用。除了最常用的GET和POST方法,HTTP协议还定义了下面这些方法:
    HEAD:和GET方法一样发出请求,但是服务器只返回响应头的信息
    PUT:允许客户端向服务器上传文件
    DELETE:允许客户端从服务器删除文件
    TRACE:将HTTP请求内容回显给请求者
    OPTIONS:列出服务器支持HTTP方法
    CONNECT:在客户端和服务器之间建立一个基于HTTP的网络连接
这其中的有些方法会引起潜在的安全风险,因为它们会允许攻击者修改存储在服务器上的文件,在有些情况下,还可能会被用于窃取合法用户的凭证信息。

我的修复方法
在web.config中加入了以下代码

好了,全部修复完了,竟然没有sql注入漏洞,也没有跨站脚本攻击漏洞,竟然都是这种所谓的漏洞,真长见识啊。