問:今天收到服務器上的http://www.bcxzyy.cn客戶網站整改意見,我這邊用常用軟件沒有檢測出問題,請問服務器網站敏感信息泄露和權限許可、訪問控制隱患要怎么修復?上次已經提交了這個問題了,你們那邊說需要提供完整檢測文件,現在我把檢測文件發給你們,請盡快幫忙解
, 服務器網站敏感信息泄露和權限許可、訪問控制隱患要怎么修復?
答:您好,1、查看到您提供的漏洞整改情況,仔細看了一下實際提供的這些低危漏洞都不算的漏洞, 公安局提供的都是非常細致的結果。 另外 對方實際都是提供了整改建議的,您可以根據對應的建議 調整服務器設置 。
2、目前針對您提供是這些截圖漏洞來說, 您是PHP程序,此漏洞解決辦法 可以取消.net執行權限 , 目前查看 已經是取消.net權限,請問之前是有設置404 或操作過 ?
3、 這個漏洞,可以直接禁止 目錄直接訪問,這些目錄名稱 實際也不需要直接訪問,所以可以直接禁止。 不會影響程序訪問 ; 在站點根目錄下新建web.config 將規則放在文件中 ,紅色的是目錄名稱,您可以根據整改要求實際填寫。
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="301Redirect" stopProcessing="true">
<match url="(.*)" />
<conditions logicalGrouping="MatchAll">
<add input="{REQUEST_URI}" pattern="data|include|uploads|temlates" ignoreCase="true" />
</conditions>
<action type="AbortRequest"/>
</rule>
</rules>
</rewrite>
</system.webServer>
</configuration>
4、另外您可以在服務器內部安裝一個 云鎖軟件 或安全狗 也可以避免短文件名 的漏洞
云鎖 https://www.yunsuo.com.cn/
安全狗 http://www.safedog.cn/
其他的漏洞,您可以根據整改意見 自行處理 ,非常感謝您長期對我司的支持!
問:非常感謝,之前是有設置404訪問權限的,另外本服務器上是安裝了云鎖軟件的,謝謝您,給您好評
答:您好,不客氣,您可以仔細看下 整改意見,里面針對相應的漏洞 會有相應的 整改建議 ,非常感謝您長期對我司的支持!