网站常见安全问题记录（持续更新）

说明

初衷：

本文档用于记录所遇到的网站安全问题，并分类汇总，方便后期遇到相似问题，可以快速找到解决方案，提升效率，让程序员有更多的时间去把妹，LOL...

记录规范：

1. 标题必须清晰明了，方便用户快速查找，拒绝标题党；
2. 问题放到正确的分类中；
3. 记录问题的时候先阐述问题，再列出解决方法，尽可能作到有图有真相；
4. 若是有对应的资料，能够附上连接；
5. 记录问题提交人，方便追踪

Apache

Cookie缺乏HttpOnly、Secure标识

漏洞提示

描述

httponly是微软对cookie作的扩展，这个主要是解决用户的cookie可能被盗用的问题。
你们都知道，当咱们去邮箱或者论坛登录后，服务器会写一些cookie到咱们的浏览器，当下次再访问其余页面时，因为浏览器回自动传递cookie，这样就实现了一次登录就能够看到全部须要登录后才能看到的内容。也就是说，实质上，全部的登录状态这些都是创建在cookie上的！假设咱们登录后的cookie被人得到，那就会有暴露我的信息的危险！固然，想一想，其余人怎么能够得到客户的cookie？那必然是有不怀好意的人的程序在浏览器里运行！若是是如今满天飞的流氓软件，那没有办法，httponly也不是用来解决这种状况的，它是用来解决浏览器里javascript访问cookie的问题。试想，一个flash程序在你的浏览器里运行，就能够得到你的cookie的！

修复方案

• 1、修改php配置文件php.ini

session.cookie_secure = 1
session.cookie_httponly = 1

• 2、修改网站cookie配置文件，以YNCMS为例，修改/Application/Home/Conf/config.php，添加配置参数

'COOKIE_SECURE'    =>  true, //  cookie 启用安全传输
'COOKIE_HTTPONLY'  =>  true, // httponly设置

参考资料： http://www.jb51.net/article/1...

cgi-bin目录问题

暴力解决办法：注释掉对应信息

apache icons目录问题

咱们若是使用了apache服务器，当我访问http://xxx.xxx.xxx/icons/时会自动显示这个目录下的因此文件列表，这行形成网站目录信息的泄露对咱们的网站安全形成威胁，在 关闭apache自动目录列表功能的三种方法 这篇文章中的三种方法都不能禁止自动目录列表，你若是使用网站安全监测，会提醒你发现目录启用了自动目录列表功能，因此咱们必须禁止它，通过测试，按以下步骤能够禁止：

打开目录apache/conf/extra/下的文件httpd-autoindex.conf（位置可能有差别）
找到

Alias /icons/ "/xampp/apache/icons/"
 
<Directory "/xampp/apache/icons">
    Options Indexes MultiViews
    AllowOverride None
    Require all granted
</Directory>

去掉Indexes改为

<Directory "/xampp/apache/icons">
    Options  MultiViews
    AllowOverride None
    Require all granted
</Directory>

重启apache服务器！

暴力解决办法就是注释掉或者直接删除icons目录

启用了OPTIONS方法

在网站根目录目录下建立.htaccess文件，内容以下，若是您已有其余规则，请添加到第一条规则

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]

使用Apache的重写规则来禁用Options方法和Trace方法

在Apache配置文件httpd-conf中【vhosts-conf】添加如下代码：

• 单独禁用Trace方法：

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK）
RewriteRule .* - [F]

• 单独禁用Options方法：

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(OPTIONS)
RewriteRule .* - [F]

• 同时禁用Trace方法和Options方法

RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
RewriteRule .* - [F]
<VirtualHost *:80>
    DocumentRoot "D:\wwwroot"
    ServerName www.abc.com
    ServerAlias abc.com
  <Directory "D:\wwwroot">
      Options FollowSymLinks ExecCGI
      AllowOverride All
      Order allow,deny
      Allow from all
      Require all granted
      RewriteEngine on
      RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
      RewriteRule .* - [F]
  </Directory>
</VirtualHost>

启用了TRACE Method

同启用了OPTIONS方法处理方法相同
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK|OPTIONS)
或者在httpd.conf中添加配置：
TraceEnable off

X-Frame-Options头未设置

在httpd.conf里面增长
Header always append X-Frame-Options SAMEORIGIN

错误页面WEB应用服务器版本泄漏

修复方法：

关闭目录浏览权限

描述

<Directory "/var/www/html"> 
    Options Indexes FollowSymLinks 
    AllowOverride None 
    Order allow,deny 
    Allow from all 
 </Directory>

options中Indexes表示当网页不存在的时候容许索引显示目录中的文件

解决

将要设置的目录对应配置参数下的Indexes删除或者改成-Indexes（低版本可能会报错）

<Directory "/var/www/html"> 
    Options FollowSymLinks 
    AllowOverride None 
    Order allow,deny 
    Allow from all 
 </Directory>

或者

<Directory "/var/www/html"> 
    Options -Indexes FollowSymLinks 
    AllowOverride None 
    Order allow,deny 
    Allow from all 
 </Directory>

缺乏"x-content-type-options"头

在httpd.conf里面增长
Header always set X-Content-Type-Options nosniff

其余

容许Flash文件与任何域HTML页面通讯

描述

解决方法

将参数AllowScriptAccess设置为never

jQuery版本警告

&#65279致使页面空行

描述：

页面的编码若是是UTF-8 + BOM，会在body开头处加入一个可见的控制符，致使页面头部会出现一个空白。这种编码方式通常会在windows操做系统中出现，好比记事本编辑器，在保存一个以UTF-8编码的文件时，会在文件开始的地方插入三个不可见的字符（0xEF 0xBB 0xBF，即BOM）。它是一串隐藏的字符，用于让记事本等编辑器识别这个文件是否以UTF-8编码。对于通常的文件，这样并不会产生什么麻烦。但对于html来讲，BOM是个大麻烦。由于浏览器在解析html页面时，并不会忽略BOM，因此在解析html文件时，会把BOM做为该文件开头正文的一部分，这串字符也将会被直接执行（在页面中并不显示）出来。由此形成即便页面的 top或者padding 设置为0，也没法让整个网页紧贴浏览器顶部，由于在html一开头有这3个隐藏字符！

解决办法：

保存文件为utf-8

建议不要用记事本打开开发文件