常见安全扫描软件web漏洞安全漏洞防护方案

1)常见安全扫描软件
2)常见web漏洞原理
3)SSL 自签名漏洞原理和解决方案
4)第三方插件漏洞原理和解决方案

1)常见安全扫描软件

  HP WebInspect

  Nessua

  Burpsuit

  appscan

  绿盟

 Owszap

2)常见web漏洞原理

CSRF跨站请求伪造

原因：

攻击者采用伪造的http请求，包括会话cookie/refer/token/自动填充的身份信息等，发送给web server,让web server认为是合法用户数据。

原理：

1）由于服务器端对用户的设置报文没有校验，该报文被扫描软件获取后，可以使用相同报文进行操作

2）OWZAP 和webinspect 的部分漏洞认定策略是对页面中form 表单要求显式的token控件或者refer 字段检查。 如果没有对单一form进行token处理，而是在form发送的公共函数中增加token处理，导致被误报为漏洞。需要澄清或者增加对refer字段的检查来规避

 反CSRF令牌扫描程序Absence of Anti-CSRF Tokens

Owszap 扫描程序针对html中form表单的扫描，发现没有显式定义token字段，一般就会上报漏洞。对于其他方式增加token校验的方案，可以增加refer检查或者cookie 检查试一下，如果仍然存在漏洞，建议澄清处理。

XSS跨站脚本攻击

原因：

由于服务器端对用户的报文没有合法性校验，在没有转义的情况下讲该报文发送给浏览器，在浏览器端执行非法操作.

扫描软件原理：该报文被扫描软件获取后，修改参数js脚本，该js脚本可以获取关键信息，如果webserver正常返回数据，扫描软件认为漏洞成立

解决方案：

在服务器端增加对报文中<script>关键字的校验

injection注入

原因：

攻击者把攻击命令作为查询数据或者配置数据的一部分发给web server, web server没有校验，直接发给sql / os 等命令解释器执行。

原理：

由于服务器端对用户的报文没有合法性校验，仅在web前端进行合法性校验，该报文被扫描软件获取后，修改报文内容为sql脚本，shell脚本命令等等，该脚本可以获取关键信息。

解决方案：在服务器端增加对报文中sql和shell关键字的校验。

 Password Field Auto Complete Active

原理：

带有password的文本框，浏览器可以把保存的用户名和密码自动填入。 需要在其属性字段设置AUTOCOMPLETE="off"来禁用该功能，

解决方案：

页面主要有主要有wifi 密码，远程,注册密码，宽带pppoe，t 远程注册，用户管理，ddns管理，前端html中设置AUTOCOMPLETE="off"

SLOWLORIS DDOS 拒绝攻击服务

原理：

以极低的速率向web server 发送HTTP请求，长时间不断开,占用SERVER 处理资源，导致正常的连接无法接入。

解决方案：iptables规则暂时可以解决，最好使用nginx安全配置来防护。

增加防火墙规则，限制单个IP连接80/443端口的请求数目，以及80/443端口总连接数

iptables  -I INPUT -p tcp –dport 80 -m connlimit  –connlimit-above 20 -j REJECT

 iptables -I INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 40 --connlimit-mask 0 -j DROP

File upload functionality

备份文件泄露

原理：

搜索常见备份目录以及备份文件名，如果web server 可以返回数据，说明存在漏洞

解决方案：

一般属于误报，如果对不存在文件返回到登录页面，被误以为是漏洞，需要返回400 错误

 HTTP Parameter Override

Unspecified form action: HTTP parameter override attack potentially possible. This is a known problem with Java Servlets but other platforms may also be vulnerable.

原因：

软件的漏洞认定形式上是form没有action.

解决方案：

去掉此类form，或者增加action

3)SSL 自签名漏洞原理和解决方案

SSL Certificate with Wrong Hostname

SSL Certificate  Cannot Be  Trusted

SSL Self Signed  Certificate

自签名证书澄清报告：

 要使用第三方认证 CA 证书，必须要具备域名，而且一个域名对应一个 CA 证书， 无域名设备不具备第三方认证证书申请条件。第三方证书机构有关规定：不允许向保留 IP 颁发证书，并且自 2016 年 10 月 1 日起，以前发布到保留 IP地址的所有证书均被撤销。保留 IP参考 IANA IPv4 Address Space Registry 定义，包含私网网段 192.168.0.0/16。 

Jquery漏洞

jquery 1.4.0 --1.11.3

jquery2.0--Jquery 2.2.4

存在xss漏洞，

可以采用jquery 4.0版本来避免漏洞。但Jquery 2.0以上不支持ie6/7/8,如果想保持兼容性。

可以通过修改源码漏洞和混淆方式处理

openssl漏洞

在https://www.openssl.org/source升级openssl 到1.0.2(2019.5发布）以上,  应用中采用tls1.1 及以上版本通信