- 系统账号管理不规范
由于root权限为系统最高权限,可以对系统进行所有管理配置操作,一旦被攻击者获取利用,将严重威胁网站的安全性。建议禁用roo直接登录,开放普通用户登录,通过普通用户登录再su进行系统管理
adduser admin (添加用户)
passwd admin (设置密码)
vim /etc/sudoers
## Allow root to run any commands anywhere
root ALL=(ALL) ALL
admin ALL=(ALL) ALL
# 注意: 这个文件只读是一种保护机制,所以保存时得使用: wq!
vim /etc/ssh/sshd_config
修改 PermitRootLogin 为 no
service sshd restart
- 系统日志保存不达标
远程登录服务器主机,查看系统日志保存配置文件,发现日志保存为每周,保存周期为一个月,不符合《网络安全法》、《网络安全等级保护管理条例》规定日志应保存不少于6个月
vim /etc/logrotate.conf
# keep 4 weeks worth of backlogs
rotate 4 改为 rotate 12 //最多转储12次
将/var/log/wtmp{
...
rotate 1 中的1改为3
}
service syslog restart //重启syslog进程
- 存储型跨站脚本攻击漏洞(高危)
跨站脚本攻击,XSS又叫CSS (Cross Site Script)。XSS属于被动式的攻击,它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。攻击者经常利用跨站脚本攻击的方式进行网络钓鱼行为。或诱骗用户点击含有跨站脚本攻击的连接,从而获取用户的COOKIE等信息,绕过用户身份认证,直接进入用户登录页面。
解决方式:
- 客户端:
a). 禁止输入、提交<、>、script、/、(、)、”等特殊字符。
b). 明确各个输入框可以接受的字符类型和长度。 - 服务器端:
对接收的内容数据进行编码(如HTMLEncode、htmlspecialchars),显示内容的原始字符串,禁止其以HTML、Javascript等脚本语言方法解释执行。
- 服务器信息泄露(中危)
网站部署完毕含有大量服务器配置、版本、运行环境信息,可以为攻击者了解网站配置,进行下一步攻击提供帮助。
解决方式:
将这些敏感文件进行删除、访问权限控制。 - 网站上线后应将debug 模式关闭。错误页面包含源码、文件名、调用函数名等敏感信息