必腾


支付宝给出了一大堆修复建议

修复建议

检查应用程序信息输出,并将敏感信息隐藏;
检查程序配置,及时修改配置错误;
提高人员安全意识。
建议参照以下修复建议进行修:
1. 配置好服务端语言解析,防止解析失败而导致源码泄露;
2. 关闭网站错误调试机制,防止因为报错而导致源码泄露。
网站存在备份文件:删除检测出的备份文件,或者将这类文件从网站目录下移走。
网站存在包含SVN信息的文件:删除网站目录下的SVN信息,不要使用SVN目录作为网站的目录。
网站存在Resin任意文件读取漏洞:删除resin_doc相关目录与文件。
网站存在目录浏览漏洞:关闭Web容器(如IIS/Apache等)的目录浏览功能,比如:
1.IIS中关闭目录浏览功能:在IIS的网站属性中,勾去“目录浏览”选项,重启IIS;
2.Apache中关闭目录浏览功能:打开Apache配置文件httpd.conf,查找 “Opti** Indexes FollowSymLinks”,修改为“ Opti** -Indexes”(减号表示取消),保存退出,重启Apache。
网站存在PHPINFO文件:删除检测出的PHPINFO文件。
网站存在服务器环境探针文件:删除检测出的探针文件,比如:iprober.php、phpcheck.php、jspcheck.jsp、DotNetInfo.aspx、aspcheck.asp等。
网站存在日志信息文件:删除检测出的日志信息文件。
网站存在JSP示例文件:删除JSP示例文件。
页面上存在数据库信息:关闭数据库的错误调试机制,防止因为SQL语句错误导致数据库报错信息显示到页面上。
页面上存在网站程序的调试信息:关闭网站程序的调试机制,这个机制经常被用于网站的测试调试,该机制能显示出很详细的网站报错信息。
网站存在后台登录地址:
1.将后台登录地址隐藏,改个不容易猜到的路径;
2.配置好后台登录地址的访问权限,比如只允许某个IP或IP段的用户访问。
网站存在服务端统计信息文件:删除检测出的服务端统计信息文件。
网站存在敏感目录:这些目录经常用于存放敏感的文件,可以考虑从网站目录中分离出,或改个不易猜测到的路径,并配置好访问权限。

喜欢 0

这篇文章还没有评论

发表评论

您必须登录才能评论