漏洞描述和加固

漏洞描述和加固目录TOC\o"1-6"\h\z\u漏洞描述和加固 1一.概述 11.1检查时间 1二.漏洞 12.1弱口令漏洞 1漏洞描述 1修复建议 12.2SQL注入漏洞 2漏洞描述 2修复建议 22.3XSS漏洞 3漏洞描述 3修复建议 42.4文件上传漏洞 4漏洞描述 4修复建议 52.5文件包含漏洞 5漏洞描述 5修复建议 62.6IIS目录解析漏洞 7漏洞描述 7修复建议 72.7目录遍历漏洞 7漏洞描述 7修复建议 82.8目录浏览漏洞 8漏洞描述 8修复建议 82.9PHP远程代码执行漏洞 10漏洞描述 10修复建议 112.10apacheStruts2远程代码执行漏洞 11漏洞描述 11修复建议 122.11Tomcat后台弱口令 12漏洞描述 12修复建议 132.12JBOSS后台部署war包 13漏洞描述 13修复建议 132.13JAVA反序列化漏洞 13漏洞描述 13修复建议 142.14JBossJMXInvokerServletJMXInvoker远程命令执行漏洞 14漏洞描述 14修复建议 142.15CSRF漏洞 15漏洞描述 15修复建议 152.16cookie篡改攻击 16漏洞描述 16修复建议 162.17IISPUT上传漏洞 16漏洞描述 16修复建议 162.18WebLogic管理后台弱口令 18漏洞描述 18修复建议 182.19一元购漏洞 19漏洞描述 19修复建议 192.20Openssl漏洞 19漏洞描述 19修复建议 192.21Fckedit漏洞 19漏洞描述 19修复建议 192.22Ewebeditor漏洞 20漏洞描述 20修复建议 20PAGE弱口令漏洞漏洞描述弱口令(weakpassword)没有严格和准确的定义，通常认为容易被别人（他们有可能对你很了解）猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令，例如“123”、“abc”等，国内网民常用的弱密码有000000、111111、11111111、112233、123123、123321、123456、12345678、654321、666666、888888、abcdef、abcabc、abc123、a1b2c3、aaa111、123qwe、qwerty、qweasd、admin、password、p@ssword、passwd、iloveyou、5201314、asdfghjkl，因为这样的口令很容易被别人破解，从而使用户的计算机面临风险，因此不推荐用户使用。除此之外，由于某些业务系统或者是设置在出厂时会设置默认密码，这些默认密码虽然比较复杂，但是也容易被黑客熟知从而被黑客利用修复建议使用复杂密码，建议密码长度在8位以上，包含字母大小写和特殊字符不同的业务系统采用不同的密码，减少撞库的可能性，切忌“一套密码到处用”对于提供初始密码的，登录第一件事就是修改密码按照帐号重要程度对密码进行分级管理，重要帐号定期更换密码避免以生日、姓名拼音、手机号码等与身份隐私相关的信息作为密码，因为黑客针对特定目标破解密码时，往往首先试探此类信息SQL注入漏洞漏洞描述SQL注入攻击源于英文“SQLInjectionAttack”。目前还没有看到一种标准的定义，常见的是对这种攻击形式、特点的描述。安全人员一般从两个方面进行描述：1）脚本注入式的攻击；2）恶意用户输入用来影响被执行的SQL脚本。StephenKost给出了这种攻击形式的另一个特征，“从一个数据库获得未经授权的访问和直接检索”。SQL注入攻击就其本质而言，他利用的工具是SQL的语法，针对的是应用程序开发者编程过程中的漏洞。“当攻击者能够操作数据，往应用程序中插入一些SQL语句时，SQL注入攻击就发生了”。SQL注入攻击是指黑客利用一些Web应用程序(论坛,留言本,文章发布系统)中某些疏于防范的用户可以提交或修改的数据的页面,精心构造Sql语句,把特殊的SQL指令语句插入到系统实际SQL语句中并执行它,以获取用户密码等敏感信息,以及获取主机控制权限的攻击方法。修复建议SQL注入漏洞可以从两个角度进行防御：全局化防御和源码级防御全局化防御： 安装第三方防护软件如WAF，将WEB应用放到WAF网络之后可以有效的防御SQL注入攻击。安装WAF是最常见的SQL注入防御方案优点：实施简单，对业务系统的影响小，成本小 缺点：治标不治本，无法从根本上修复漏洞，比如一旦WAF当机，则漏洞会立即暴漏 源码级防御 1、所有的查询语句都使用数据库提供的参数化查询接口，参数化的语句使用参数而不是将用户输入变量嵌入到SQL语句中。当前几乎所有的数据库系统都提供了参数化SQL语句执行接口，使用此接口可以非常有效的防止SQL注入攻击。2、对进入数据库的特殊字符（'"\尖括号&*;等）进行转义处理，或编码转换。3、严格限制变量类型，比如整型变量就采用intval()函数过滤，数据库中的存储字段必须对应为int型。4、数据长度应该严格规定，能在一定程度上防止比较长的SQL注入语句无法正确执行。5、网站每个数据层的编码统一，建议全部使用UTF-8编码，上下层编码不一致有可能导致一些过滤模型被绕过。6、严格限制网站用户的数据库的操作权限，给此用户提供仅仅能够满足其工作的权限，从而最大限度的减少注入攻击对数据库的危害。7、避免网站显示SQL错误信息，比如类型错误、字段不匹配等，防止攻击者利用这些错误信息进行一些判断。8、确认配置文件中的字符过滤、转义等选项保持开启。9、在部署你的应用前，始终要做安全审评(securityreview)。建立一个正式的安全过程(formalsecurityprocess)，在每次你做更新时，对所有的编码做审评。后面一点特别重要。不论是发布部署应用还是更新应用，请始终坚持做安全审评。10、千万别把敏感性数据在数据库里以明文存放。优点：能从根本上消除漏洞缺点：实施成本大，很容易对业务系统产生影响，操作繁琐XSS漏洞漏洞描述XSS简介作为一种HTML注入攻击，XSS攻击的核心思想就是在HTML页面中注入恶意代码，而XSS采用的注入方式是非常巧妙的。在XSS攻击中，一般有三个角色参与：攻击者、目标服务器、受害者的浏览器。由于有的服务器并没有对用户的输入进行安全方面的验证，攻击者就可以很容易地通过正常的输入手段，夹带进一些恶意的HTML脚本代码。当受害者的浏览器访问目标服务器上被注入恶意脚本的页面后，由于它对目标服务器的信任，这段恶意脚本的执行不会受到什么阻碍。而此时，攻击者的目的就已经达到了。XSS分类根据XSS脚本注入方式的不同，我们可以对XSS攻击进行简单的分类。其中，最常见的就数反射型XSS和存储型XSS了。1.反射型XSS反射型XSS，又称非持久型XSS。之所以称为反射型XSS，则是因为这种攻击方式的注入代码是从目标服务器通过错误信息、搜索结果等等方式“反射”回来的。而称为非持久型XSS，则是因为这种攻击方式具有一次性。攻击者通过电子邮件等方式将包含注入脚本的恶意链接发送给受害者，当受害者点击该链接时，注入脚本被传输到目标服务器上，然后服务器将注入脚本“反射”到受害者的浏览器上，从而在该浏览器上执行了这段脚本。2.存储型XSS存储型XSS，又称持久型XSS，他和反射型XSS最大的不同就是，攻击脚本将被永久地存放在目标服务器的数据库和文件中。这种攻击多见于论坛，攻击者在发帖的过程中，将恶意脚本连同正常信息一起注入到帖子的内容之中。随着帖子被论坛服务器存储下来，恶意脚本也永久地被存放在论坛服务器的后端存储器中。当其它用户浏览这个被注入了恶意脚本的帖子的时候，恶意脚本则会在他们的浏览器中得到执行，从而受到了攻击。修复建议SQL注入漏洞可以从两个角度进行防御：全局化防御和源码级防御全局化防御：安装第三方防护软件如WAF，将WEB应用放到WAF网络之后可以有效的防御XSS攻击。安装WAF是最常见的XSS防御方案优点：实施简单，对业务系统的影响小，成本小缺点：治标不治本，无法从根本上修复漏洞，比如一旦WAF当机，则漏洞会立即暴漏源码级防御源码级防御主要遵循以下七条原则原则1：不要在页面中插入任何不可信数据，除非这些数已经据根据下面几个原则进行了编码原则2：在将不可信数据插入到HTML标签之间时，对这些数据进行HTMLEntity编码原则3：在将不可信数据插入到HTML属性里时，对这些数据进行HTML属性编码原则4：在将不可信数据插入到SCRIPT里时，对这些数据进行SCRIPT编码原则5：在将不可信数据插入到Style属性里时，对这些数据进行CSS编码原则6：在将不可信数据插入到HTMLURL里时，对这些数据进行URL编码原则7：使用富文本时，使用XSS规则引擎进行编码过滤详细内容引用链接：/news/43919/7-principles-of-defense-xss优点：能从根本上消除漏洞缺点：实施成本大，很容易对业务系统产生影响，操作繁琐文件上传漏洞漏洞描述文件上传漏洞是指网络攻击者上传了一个可执行的文件到服务器并执行。这里上传的文件可以是木马，病毒，恶意脚本或者WebShell等。这种攻击方式是最为直接和有效的，部分文件上传漏洞的利用技术门槛非常的低，对于攻击者来说很容易实施。大部分的网站和应用系统都有上传功能，如用户头像上传，图片上传，文档上传等。一些文件上传功能实现代码没有严格限制用户上传的文件后缀以及文件类型，导致允许攻击者向某个可通过Web访问的目录上传任意PHP/JSP/ASPX/ASP文件，并能够将这些文件传递给PHP/JSP/ASPX/ASP解释器，就可以在远程服务器上执行任意PHP/JSP/ASPX/ASP脚本。文件上传漏洞本身就是一个危害巨大的漏洞，WebShell更是将这种漏洞的利用无限扩大。大多数的上传漏洞被利用后攻击者都会留下WebShell以方便后续进入系统。攻击者在受影响系统放置或者插入WebShell后，可通过该WebShell更轻松，更隐蔽的在服务中为所欲为。修复建议上传漏洞可以从两个角度进行防御：全局化防御和源码级防御全局化防御：安装第三方防护软件如WAF，将WEB应用放到WAF网络之后可以有效的防御上传漏洞攻击。安装WAF是最常见的上传漏洞方案优点：实施简单，对业务系统的影响小，成本小缺点：治标不治本，无法从根本上修复漏洞，比如一旦WAF当机，则漏洞会立即暴漏源码级防御源码级防御主要遵循以下原则1、文件上传的目录设置为不可执行2、判断文件类型：强烈推荐白名单方式。此外，对于图片的处理，可以使用压缩函数或者resize函数，在处理图片的同时破坏图片中可能包含的HTML代码。3、使用随机数改写文件名和文件路径。4、单独设置文件服务器的域名：由于浏览器同源策略的关系，一系列客户端攻击将失效。优点：能从根本上消除漏洞缺点：实施成本大，很容易对业务系统产生影响，操作繁琐文件包含漏洞漏洞描述文件包含（LocalFileInclude）是php脚本的一大特色，程序员们为了开发的方便，常常会用到包含。比如把一系列功能函数都写进fuction.php中，之后当某个文件需要调用的时候就直接在文件头中写上一句<?phpincludefuction.php?>就可以调用内部定义的函数。本地包含漏洞是PHP中一种典型的高危漏洞。由于程序员未对用户可控的变量进行输入检查，导致用户可以控制被包含的文件，成功利用时可以使webserver会将特定文件当成php执行，从而导致用户可获取一定的服务器权限。服务器通过php的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可以去包含一个恶意文件，而黑客可以构造这个恶意文件来达到邪恶的目的。涉及到的危险函数：include(),require()和include_once(),require_once()Include:包含并运行指定文件，当包含外部文件发生错误时，系统给出警告，但整个php文件继续执行。Require:跟include唯一不同的是，当产生错误时候，include下面继续运行而require停止运行了。Include_once:这个函数跟include函数作用几乎相同，只是他在导入函数之前先检测下该文件是否被导入。如果已经执行一遍那么就不重复执行了。Require_once:这个函数跟require的区别跟上面我所讲的include和include_once是一样的。所以我就不重复了。php.ini配置文件：allow_url_fopen=off即不可以包含远程文件。Php4存在远程&本地，php5仅存在本地包含。除了PHP之外，JSP也可能存在文件包含漏洞修复建议文件包含漏洞可以从两个角度进行防御：全局化防御和源码级防御全局化防御：安装第三方防护软件如WAF，将WEB应用放到WAF网络之后可以有效的防御SQL注入攻击。安装WAF是最常见的SQL注入防御方案优点：实施简单，对业务系统的影响小，成本小缺点：治标不治本，无法从根本上修复漏洞，比如一旦WAF当机，则漏洞会立即暴漏源码级防御：1.在开发过程中应该尽量避免动态的变量，尤其是用户可以控制的变量。一种保险的做法是采用“白名单”的方式将允许包含的文件列出来，只允许包含白名单中的文件，这样就可以避免任意文件包含的风险2.将文件包含漏洞利用过程中的一些特殊字符定义在黑名单中，对传入的参数进行过滤。优点：能从根本上消除漏洞缺点：实施成本大，很容易对业务系统产生影响，操作繁琐IIS目录解析漏洞漏洞描述IIS6.0解析利用方法有两种1.目录解析2.文件解析第一种，在网站下建立文件夹的名字为.asp、.asa的文件夹，其目录内的任何扩展名的文件都被IIS当作asp文件来解析并执行。例如创建目录anyun.asp，那么/anyun.asp/1.jpg将被当作asp文件来执行。假设黑客可以控制上传文件夹路径,就可以不管你上传后你的图片改不改名都能拿shell了。第二种，在IIS6.0下，分号后面的不被解析，也就是说Anyun.asp;1.jpg会被服务器看成是anyun.asp还有IIS6.0默认的可执行文件除了asp还包含这三种/anyun.asa/anyun.cer/anyun.cdx。修复建议微软一直没有发布针对该漏洞的补丁，防御只能从源码级进行防御.针对第一种解析漏洞1、有用户可自主命名文件夹权限的功能，建议检查文件夹名称的合法性，或者关闭用户上传功能。2、在用户控制的文件夹内设置脚本权限为”无”。第二种漏洞1.服务端检测，对文件大小、文件路径、文件扩展名、文件类型、文件内容检测，对文件重命名2.服务器端上传目录设置不可执行权限目录遍历漏洞漏洞描述攻击人员通过目录便利攻击可以获取系统文件及服务器的配置文件等等。一般来说，他们利用服务器API、文件标准权限进行攻击。严格来说，目录遍历攻击并不是一种web漏洞，而是网站设计人员的设计“漏洞”。如果web设计者设计的web内容没有恰当的访问控制，允许http遍历，攻击者就可以访问受限的目录，并可以在web根目录以外执行命令。 攻击方式:黑客通过在URL或参数中构造“../”，或“../”和类似的跨父目录字符串的ASCII编码、unicode编码等，完成目录跳转，读取操作系统各个目录下的敏感文件，也可以称作“任意文件读取漏洞”。../..%2F/%c0%ae%c0%ae/%2e%2e%2f..\..//目录遍历漏洞原理：程序没有充分过滤用户输入的../之类的目录跳转符，导致用户可以通过提交目录跳转来遍历服务器上的任意文件。使用多个..符号，不断向上跳转，最终停留在根/，通过绝对路径去读取任意文件。修复建议防范目录遍历攻击漏洞，最有效的办法就是权限控制，谨慎处理传向文件系统API的参数，主要在防护中注意以下亮点1、净化数据：对用户传过来的文件名参数进行硬编码或统一编码，对文件类型进行白名单控制，对包含恶意字符或者空字符的参数进行拒绝。2、web应用程序可以使用chrooted环境包含被访问的web目录，或者使用绝对路径+参数来访问文件目录，时使其即使越权也在访问目录之内。目录浏览漏洞漏洞描述对于网站来说，用户看到的是浏览网页时的网址，但是在网址后面跟上一些网站本身就存在的文件名，很可能就会看到你的后台文件及数据库文件，这样是很危险的。目录遍历漏洞，会将站点的所有目录暴露在访问者眼前，有经验的开发者或hacker们可以从这些目录得知当前站点的信息，如开发语言、服务器系统、站点结构，甚至一些敏感的信息。修复建议不同的中间件都存在目录浏览漏洞，不同的中间件防御方式也不一样IISIIS中关闭目录浏览功能：在IIS的网站属性中，勾去“目录浏览”选项，重启IIS；ApacheApache中关闭目录浏览功能：修改Apache的配置文件，把：OptionsIndexesFollowSymLinks

改为：Options

-Indexes

FollowSymLinks

重启httpd服务即可，这样可以把所有网站的Indexes选项都取消。Tomcat编辑apache的httpd.conf，找到OptionsIndexesMultiViews中的Indexs去掉，更改为Options

MultiViews即可。2、编辑tomcat的conf/web.xml找到<servlet><servlet-name>default</servlet-name><servlet-class>org.apache.catalina.servlets.DefaultServlet</servlet-class><init-param><param-name>debug</param-name><param-value>0</param-value></init-param><init-param><param-name>listings</param-name><param-value>true</param-value></init-param><load-on-startup>1</load-on-startup></servlet>将“<param-value>true</param-value>”此行的true改为false即可。编辑好后，记得重启相应的服务生效。PHP远程代码执行漏洞漏洞描述RCE（远程命令执行）绝对是最臭名昭著的漏洞之一，其攻击方式灵活，且攻击成功后一般返回继承了web组件（如apache）权限的shell.这是一个最简单的命令执行漏洞//index.php<?php$cmd=$_GET['cmd'];system($cmd);?>我们可以用浏览器访问index.php?cmd=whoami从而执行whoami命令特别注意如果我们使用了<?php$cmd=$_GET['cmd'];echoexec($cmd);?> 由于exec()默认没有回显，所以执行命令之后我们是看不到结果的，。修复建议源码级防御建议假定所有输入都是可疑的，尝试对所有输入提交可能执行命令的构造语句进行严格的检查或者控制外部输入，系统命令执行函数的参数不允许外部传递。不仅要验证数据的类型，还要验证其格式、长度、范围和内容。不要仅仅在客户端做数据的验证与过滤，关键的过滤步骤在服务端进行。对输出的数据也要检查，数据库里的值有可能会在一个大网站的多处都有输出，即使在输入做了编码等操作，在各处的输出点时也要进行安全检查。优点：实施简单，对业务系统的影响小，成本小 缺点：治标不治本，无法从根本上修复漏洞，比如一旦WAF当机，则漏洞会立即暴漏全局化防御安装第三方防护软件如WAF，将WEB应用放到WAF网络之后可以有效的防御SQL注入攻击。安装WAF是最常见的SQL注入防御方案优点：实施简单，对业务系统的影响小，成本小 缺点：治标不治本，无法从根本上修复漏洞，比如一旦WAF当机，则漏洞会立即暴漏apacheStruts2远程代码执行漏洞漏洞描述Struts2是Struts的下一代产品，是在struts1和WebWork的技术基础上进行了合并的全新的Struts2框架。其全新的Struts2的体系结构与Struts1的体系结构差别巨大。Struts2以WebWork为核心，采用拦截器的机制来处理用户的请求，这样的设计也使得业务逻辑控制器能够与ServletAPI完全脱离开，所以Struts2可以理解为WebWork的更新产品。虽然从Struts1到Struts2有着太大的变化，但是相对于WebWork，Struts2的变化很小。Struts2在不同的版本中多次曝露出影响巨大的远程代码执行漏洞,攻击者只要构造特殊的URL，就可以通过struts2执行任意命令.黑客利用该漏洞，可对企业服务器实施远程操作，从而导致数据泄露、远程主机被控、内网渗透等重大安全威胁。修复建议源码级防御1.安全中有个非常重要的原则就是最小权限原则。所谓最小特权(LeastPrivilege)，指的是"在完成某种操作时所赋予网络中每个主体(用户或进程)必不可少的特权"。最小特权原则，则是指"应限定网络中每个主体所必须的最小特权，确保可能的事故、错误、网络部件的篡改等原因造成的损失最小"。比如在系统中如果没有用到动态方法调用，在部署的时候就去掉，这样即使补丁没有打，依然不会被利用。2.即使升级struts2到最新版本补丁地址：/download.cgi#struts23281全局化防御： 安装第三方防护软件如WAF，将WEB应用放到WAF网络之后可以有效的防御SQL注入攻击。安装WAF是最常见的SQL注入防御方案优点：实施简单，对业务系统的影响小，成本小 缺点：治标不治本，无法从根本上修复漏洞，比如一旦WAF当机，则漏洞会立即暴漏 Tomcat后台弱口令漏洞描述默认安装Tomcat自带启用了管理后台功能，该后台可直接上传war对站点进行部署和管理，通常由于运维人员的疏忽，导致管理后台空口令或者弱口令的产生，使得黑客或者不法分子利用该漏洞直接上传WEBSHELL导致服务器沦陷。通常访问Tomcat后台管理地址为：http://iP:8080/manager/html/,如下截图：修复建议1.若业务系统不使用tomcat管理后台发布业务代码：1）直接将部署tomcat目录下webapps下的manager、host-manager文件夹全部删除；2）注释Tomcat目录下conf下的tomcat-users.xml中的所有代码2.若业务系统需要使用tomcat管理后台进行业务代码发布和管理，建议修改默认admin用户，且密码长度不低于10位，必须包含大写字母、JBOSS后台部署war包漏洞描述大多数的JBoss服务器的JMX控制台配置的是默认身份验证,是没有限制普通访问者访问JMX控制台和WEB管理界面的，允许远程攻击者直接访问绕过身份认证和管理访问权限。攻击者可以用浏览前访问jmx-console页面直接登录后台地址，然后通过后台地址上传war包获得webshell,从而可以获取服务器的控制权。修复建议1.升级JBoss到最新的版本2.删除$JBOSS_HOME/[server]/all/deploy和$JBOSS_HOME/[server]/default/deploy下的Jmx-console.war、Web-console.war这两个.War文件3.禁止对Jmx-console和Web-console的访问JAVA反序列化漏洞漏洞描述java反序列化漏洞是一类被广泛应用的漏洞，绝大多数的编程语言都会提供内建方法使用户可以将自身应用所产生的数据存入硬盘或通过网络传输出去。这种将应用数据转化为其他格式的过程称之为序列化，而将读取序列化数据的过程称之为反序列化。当应用代码从用户接受序列化数据并试图反序列化改数据进行下一步处理时会产生反序列化漏洞。该漏洞在不同的语言环境下会导致多种结果，但最有危害性的，也是之后我们即将讨论的是远程代码注入。该漏洞在WebLogic、WebSphere、JBoss、Jenkins、OpenNMS中都可以使用，实现远程代码执行修复建议源码级防御1使用SerialKiller替换进行序列化操作的ObjectInputStream类；2在不影响业务的情况下，临时删除掉项目里的“org/apache/commons/collections/functors/InvokerTransformer.class”文件；在服务器上找org/apache/commons/collections/functors/InvokerTransformer.class类的jar，目前weblogic10以后都在Oracle/Middleware/modules下mons.collections_3.2.0.jar，创建临时目录tt，解压之后删除InvokerTransformer.class类后再打成mons.collections_3.2.0.jar覆盖Oracle/Middleware/modules下，重启所有服务全局化防御： 安装第三方防护软件如WAF，将WEB应用放到WAF网络之后可以有效的防御SQL注入攻击。安装WAF是最常见的SQL注入防御方案优点：实施简单，对业务系统的影响小，成本小 缺点：治标不治本，无法从根本上修复漏洞，比如一旦WAF当机，则漏洞会立即暴漏 JBossJMXInvokerServletJMXInvoker远程命令执行漏洞漏洞描述在jboss的目录下存在/invoker/JMXInvokerServlet，文件可以让攻击者远程执行系统命令,或者是上传war包去获得webshell，从而执行获取网站的控制权.修复建议删除/invoker/JMXInvokerServlet文件CSRF漏洞漏洞描述CSRF（Cross-siterequestforgery），中文名称：跨站请求伪造，也被称为：oneclickattack/sessionriding，缩写为：CSRF/XSRF。你这可以这么理解CSRF攻击：攻击者盗用了你的身份，以你的名义发送恶意请求。CSRF能够做的事情包括：以你名义发送邮件，发消息，盗取你的账号，甚至于购买商品，虚拟货币转账造成的问题包括：个人隐私泄露以及财产安全。从上图可以看出，要完成一次CSRF攻击，受害者必须依次完成两个步骤：1.登录受信任网站A，并在本地生成Cookie。2.在不登出A的情况下，访问危险网站B。修复建议CSRF的防御可以从服务端和客户端两方面着手，防御效果是从服务端着手效果比较好，现在一般的CSRF防御也都在服务端进行。1.服务端进行CSRF防御服务端的CSRF方式方法很多样，但总的思想都是一致的，就是在客户端页面增加伪随机数。(1).CookieHashing(所有表单都包含同一个伪随机值)：2).验证码每次的用户提交都需要用户在表单中填写一个图片上的随机字符串，厄这个方案可以完全解决CSRF cookie篡改攻击漏洞描述cookie篡改（cookiepoisoning）是攻击者修改cookie（网站用户计算机中的个人信息）获得用户未授权信息，进而盗用身份的过程，攻击者可能使用此信息打开新账号或者获取用户已存在账号的访问权限。Cookie是存储在你计算机硬盘上的一小块信息，它允许你访问的网站鉴别你的身份，加速你的事务处理，监控你的行为和为你个性化显示。然而，cookie也允许未授权的人存取，在缺少安全措施的情况下，攻击者能够检查一个cookie并得到它的用途，编辑它以帮助他们从发送cookie的网站上获得用户的信息。修复建议要想防御cookie篡改攻击，只能在源代码上进行防御1.敏感信息，比如账户名不要储存在cookie中储存在cookie中的信息应该首先进行加密IISPUT上传漏洞漏洞描述当开启了WebDAV后，IIS中又配置了目录可写，便会产生很严重的问题。wooyun上由此配置产生的问题很多。危害巨大，操作简单，直接批量扫描，上传shell。黑客可以直接通过PUT请求上传一个web，然后重命名成asp后缀，就可以拿到webshell修复建议1.关闭webdav2.关闭IIS目录写权限WebLogic管理后台弱口令漏洞描述攻击者可以猜测或暴力破解弱口令来访问受密码保护的页面WebLogic管理后台密码为弱密码或者使用默认的口令。登录进去之后黑客可以通过上传war包从而获得网站的webshell修复建议1.把弱口令改成强口令一元购漏洞漏洞描述一元购漏洞就是应用程序对信息校验不完全，导致黑客可以通过修改http请求中的支付金额从而修改自己需要支付的金钱数，以少量的金额购买昂贵的物品。修复建议1.在http请求中增加一个KEY，校验请求是否被篡改Openssl漏洞漏洞描述在流行的网络通信加密软件库OpenSSL中，爆出Heartblead-心脏滴血漏洞，该BUG非常致命，该