网站普遍安全性难题纪录（不断升级）

Apache

表明 初心：

文中档用以纪录所碰到的网站安全性难题，并归类归纳，便捷中后期碰到相近难题，可以迅速寻找处理计划方案，提升高效率，让程序猿有大量的時间去把妹，LOL...

纪录标准：

题目务必清楚一目了然，便捷客户迅速搜索，回绝题目党；

难题放进恰当的归类中；

纪录难题的情况下先论述难题，再列举处理方式，尽可能保证有图有实情；

假如有相匹配的材料，能够另附连接；

纪录难题递交人，便捷跟踪

Apache Cookie缺乏HttpOnly、Secure标志 系统漏洞提醒

叙述

httponly是微软公司对cookie做的拓展，这一关键是处理客户的cookie将会失窃用的难题。

大伙儿都了解，当我们们去电子邮箱或是社区论坛登录后，网络服务器会写一些cookie到大家的访问器，时下次再浏览别的网页页面时，因为访问器回全自动传送cookie，那样就完成了一次登录便可以见到全部必须登录后才可以见到的內容。换句话说，本质上，全部的登录情况这种全是创建在cookie上的！假定大家登录后的cookie被别人得到，那么就会出现曝露本人信息内容的风险！自然，想一想，别的人如何能够得到顾客的cookie？那必定是有不怀好心的人的程序在访问器里运作！假如是如今漫天飞的无赖手机软件，那沒有方法，httponly都不是用于处理这类状况的，它是用于处理访问器里java script浏览cookie的难题。设想，一个flash程序在你的访问器里运作，便可以得到你的cookie的！

修补计划方案

一、改动php配备文档php.ini

session.cookie_secure = 1

session.cookie_httponly = 1

暴力行为处理方法：注解掉相匹配信息内容

apache icons文件目录难题

大家假如应用了apache网络服务器，当我们浏览icons/时候全自动显示信息这一文件目录下的因此文档目录，这方面导致网站导航信息内容的泄漏一件事们的网站安全性导致威协，在 关掉apache全自动文件目录目录作用的三种方式 本文中的三种方式也不能严禁全自动文件目录目录，你假如应用网站安全性检测，会提示你发觉文件目录开启了全自动文件目录目录作用，因此大家务必严禁它，历经检测，按以下流程能够严禁：

开启文件目录apache/conf/extra/下的文档httpd-autoindex.conf（部位将会有差别）

寻找

Alias /icons/  /xampp/apache/icons/

 

Directory  /xampp/apache/icons

 Options Indexes MultiViews

 AllowOverride None

 Require all granted

/Directory

除掉Indexes改为

Directory  /xampp/apache/icons

 Options MultiViews

 AllowOverride None

 Require all granted

/Directory

重新启动apache网络服务器！

暴力行为处理方法便是注解掉或是立即删掉icons文件目录

开启了OPTIONS方式

ess文档，內容以下，假如您现有别的标准，请加上到第一条标准

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(OPTIONS)

RewriteRule .* - [F]

应用Apache的重新写过标准来禁止使用Options方式和Trace方式

在Apache配备文档httpd-conf中【vhosts-conf】加上下列编码：

独立禁止使用Trace方式：

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK）

RewriteRule .* - [F]

独立禁止使用Options方式：

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(OPTIONS)

RewriteRule .* - [F]

同时禁止使用Trace方式和Options方式

RewriteEngine On

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)

RewriteRule .* - [F]

VirtualHost *:80

 DocumentRoot  D:\wwwroot

 ServerName 

 ServerAlias&

  Directory  D:\wwwroot

 Options FollowSymLinks ExecCGI

 AllowOverride All

 Order allow,deny

 Allow from all

 Require all granted

 RewriteEngine on

 RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)

 RewriteRule .* - [F]

  /Directory

/VirtualHost

开启了TRACE Method

同开启了OPTIONS方式解决方式同样

RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)

或是在httpd.conf中加上配备：

TraceEnable off

X-Frame-Options头未设定

在httpd.conf里边提升

Header always append X-Frame-Options SAMEORIGIN

不正确网页页面WEB运用网络服务器版本号泄露

修补方式：

关掉文件目录访问管理权限 叙述

Directory  /  

 Options Indexes FollowSymLinks 

 AllowOverride None 

 Order allow,deny 

 Allow from all 

  /Directory

options中Indexes表明当网页页面不会有的情况下容许数据库索引显示信息文件目录中的文档

处理

即将设定的文件目录相匹配配备主要参数下的Indexes删掉或是改成-Indexes（低版本号将会会出错）

Directory  /  

 Options FollowSymLinks 

 AllowOverride None 

 Order allow,deny 

 Allow from all 

  /Directory

或是

Directory  /  

 Options -Indexes FollowSymLinks 

 AllowOverride None 

 Order allow,deny 

 Allow from all 

  /Directory

缺乏 x-content-type-options 头

在httpd.conf里边提升

Header always set X-Content-Type-Options nosniff

别的 容许Flash文档与一切域HTML网页页面通讯 叙述

处理方式jQuery版本号警示

#65279造成网页页面空白行 叙述：

网页页面的编号假如是UTF-8 + BOM，会在body开始处添加一个由此可见的操纵符，造成网页页面头顶部会出現一个空白页。这类编号方法一般会在windows实际操作系统软件抽出现，例如记事簿本编写器，在储存一个以UTF-8编号的文档时，会在文档刚开始的地区插进三个不能见的标识符（0xEF 0xBB 0xBF，即BOM）。它是一串掩藏的标识符，用以让记事簿本等编写器鉴别这一文档是不是以UTF-8编号。针对一一样的文档，那样其实不会造成甚么不便。但针对html来讲，BOM是个大不便。由于访问器在分析html网页页面时，其实不会忽视BOM，因此在分析html文档时，会把BOM做为该文档开始文章正文的一一部分，这串标识符也可能被立即实行（在网页页面中其实不显示信息）出去。从而导致即便网页页面的 top或是padding 设定为0，也没法让全部网页页面紧贴访问器顶端，由于在html一开始有这3个掩藏标识符！

处理方法：

储存文档为utf-8

提议不必用记事簿本开启开发设计文档

$_SERVER 是PHP预订义的丰富局自变量。说白了“丰富局自变量”，即在脚本制作所有功效域上都可使用，$_SERVER储存有关报头、相对路径和脚本制作部位的信息内容。工作中中常常忘掉，在此梳理纪录下，加重印像。检测是在Windows下开展的，自然环境为Apache/2.4.23 (Win32)+PHP/5.6.27-nts，浏览网站域名为index....，文档文件目录在E:/WWW/example/。关键內容详细说明$_SERVER[ SCRIPT_N..

系统软件自然环境：Windows Server 2008 R2 + Sql Server 2008 R2 难题叙述：Windows Server 2008 R2系统软件运行内存占有率过大，而在每日任务管理方法器中各过程运行内存占有总数都远不上此占有率。有关状况：1. 运行内存占有率90%之上2. 每日任务管理方法器中常有过程运行内存和较低，远不上90%，有二十多G的运行内存误差 剖析全过程： 最先猜疑SQL&..

ALTER TABLE zysjyj DROP aid;ALTER TABLE zysjyj ADD aid int(10) NOT NULL FIRST;ALTER TABLE zysjyj AUTO_INCREMENT=10000;ALTER TABLE zysjyj MODIFY COLUMN aid int(10) NOT NULL AUTO_INCREMENT,ADD PRIMARY KEY(aid);

技术性适用 悦动高新科技
联络 | belldanby ； 联络 |
茂名企业网站建设