htaccess文件可读
修改apache配置文件httpd.conf
AccessFileName .htaccess
发现PHPINFO信息泄露漏洞
一般是网站目录下放置了phpinfo函数文件,删除phpinfo.php
Tomcat示例文件未删除
删除tomcat默认站点下的index.jsp
PHPSESSID已知会话确认攻击
apache环境在根目录下建立.htaccess文件,设置
<IfModule php5_module>
php_value session.cookie_httponly true
</IfModule>
iis7及以上环境在根目录下建立web.config文件,设置
<?xml version="1.0"?>
<configuration>
<system.web>
<httpCookies httpOnlyCookies="true" />
</system.web>
</configuration>
Flash配置不当漏洞
修改根目录crossdomain.xml,将domain中的域名更换成自己的域名,多个域名可以写多行
<?xml version="1.0"?>
<cross-domain-policy>
<allow-access-from domain="*.test1.com" />
<allow-access-from domain="*.test2.com" />
</cross-domain-policy>
跨站脚本Xss漏洞/sql注入漏洞/代码执行漏洞
asp程序
1.下载http://downinfo.myhostadmin.net/vps/asp.zip
2.解压后,将文件放到公共文件(如数据库的连接文件)所在目录
3.在公共文件页面中加入代码
<!--#include file="waf.asp"-->
php:
1.下载http://downinfo.myhostadmin.net/vps/360webscan.zip
2.解压后,整个文件夹放到网站根目录
3.在网站的一个公用文件(如数据库的连接文件)中加入代码:
if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){
require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');
} // 注意文件路径
常用PHP建站系统的公用页面
PHPCMS : \phpcms\base.php
PHPWIND: \phpwind\conf\baseconfig.php
DEDECMS: \data\common.inc.php
Discuz: \config\config_global.php
Wordpress: \wp-config-sample.php
ECshop: \data\config.php
Metinfo: \include\head.php
HDwiki: \config.php
Swfupload.swf跨站脚本攻击漏洞
http://downinfo.myhostadmin.net/vps/swfupload.swf.zip
下载压缩包解压替换Swfupload.swf,替换前备份自己的文件
以下是swfupload的源码文件,如果你自己有开发能力,也可以自己重新编译打包
http://downinfo.myhostadmin.net/vps/swfupload.swf.rar
其他一些开源程序漏洞
请联系程序官方更新升级补丁至最新版
