网站被扫描出“漏洞”,被要求整改,怎么解决?
某天,有人打电话给你说,你的网站有漏洞,到某某地方,带上公章和U盘,来领整改通知和拷漏洞文件。
你一听,KAO,网站居然有漏洞,瞬间一惊。
如果是别人给你做的网站,你就会说,这都什么破公司,技术这个烂!
如果是自己做的网站,你会瞬间怀疑自己的技术水平!
首先,有人给你免费检测网站漏洞,是个好事情,要表示感谢。
其次,也不用太惊慌,因为所谓的漏洞,可能有几个,几十个,几百个,但大多都是些无关紧要的东西。
而最多的两个问题,就GET和POST请求参数没有过滤,其次就是错误信息暴露服务器的目录等问题。
下面来说一下怎么处理。
一、屏蔽不需要的访问。
这种检测系统,会构造出一大堆乱其八糟的网址来访问你的网站,这时,如果服务器上没有这个路径,一般会返回一个错误,如果错误中有服务器路径等,那么恭喜你,你会有几十个以上的“漏洞”了。
所以,通过网站路由来屏蔽掉这种检测请求,什么也不要返回,免得误报。
二、GET和POST请求参数没有过滤。
GET和POST请求参数没有过滤,是许多新手常犯的错误。遇到这种漏洞,确实要及时修复。
修复也很简单,只要过滤到危险的字符就行了。以PHP为例,你可以这样做。
$post = $_POST; array_walk($post, function(&$v) { $v = str_replace(['script','exec','eval','<','(','>',')','\\','/'],'', $v); });
三 、错误日志信息
最简单的方式就是关闭错误显示。
PHP在php.ini中,设置 dispaly_errors = Off 或在程序中在PHP文件最上面加上error_reporting(0);
dispaly_errors = Off
error_reporting(0);
django则设置 settins.py文件中设置 DEBUG =0 即可
DEBUG = 0
四 、thinkphp错误日志的处理
为了调试程序,我们不能把错误信息都关了。
许多网站,都用thinkphp框架来开发。thinkphp的错误日志会显示出错文件的路径,这是“重大泄密”问题,那怎么改呢。
简单,改thinkphp/tpl/think_exception.tpl 文件。
以5.1 LTS版本为例具体改以下几个地方。
第45行加上
$item = str_replace([Env::get('root_path')], './', $item);
第463行加上
$val = str_replace([Env::get('root_path')], './', $val);
完整的改过的文件,如下,需要的拿走:
thinkphp/tpl/think_exception.tpl
<?phpif(!function_exists('parse_padding')){function parse_padding($source){ $length = strlen(strval(count($source['source']) + $source['first']));return 40 + ($length - 1) * 8; } }if(!function_exists('parse_class')){function parse_class($name){ $names = explode('\\', $name);return '<abbr title="'.$name.'">'.end($names).'</abbr>'; } }if(!function_exists('parse_file')){function parse_file($file, $line){ $file = str_replace([Env::get('root_path')], './', $file);return '<a class="toggle" title="'."{$file} line {$line}".'">'.basename($file)." line {$line}".'</a>'; } }if(!function_exists('parse_args')){function parse_args($args){ $result = [];foreach ($args as $key => $item) {switch (true) {case is_object($item): $value = sprintf('<em>object</em>(%s)', parse_class(get_class($item)));break;case is_array($item):if(count($item) > 3){ $value = sprintf('[%s, ...]', parse_args(array_slice($item, 0, 3))); } else { $value = sprintf('[%s]', parse_args($item)); }break;case is_string($item):if(strlen($item) > 20){ $item = str_replace([Env::get('root_path')], './', $item); $value = sprintf('\'<a class="toggle" title="%s">%s...</a>\'', htmlentities($item), htmlentities(substr($item, 0, 20)) ); } else { $value = sprintf("'%s'", htmlentities($item)); }break;case is_int($item):case is_float($item): $value = $item;break;case is_null($item): $value = '<em>null</em>';break;case is_bool($item): $value = '<em>' . ($item ? 'true' : 'false') . '</em>';break;case is_resource($item): $value = '<em>resource</em>';break;default: $value = htmlentities(str_replace("\n", '', var_export(strval($item), true)));break; } $result[] = is_int($key) ? $value : "'{$key}' => {$value}"; }return implode(', ', $result); } }?><!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title>系统发生错误</title> <meta name="robots" content="noindex,nofollow" /> <style>/* Base */body { color: #333;font: 16px Verdana, "Helvetica Neue", helvetica, Arial, 'Microsoft YaHei', sans-serif; margin: 0; padding: 0 20px 20px; } h1{ margin: 10px 0 0; font-size: 28px; font-weight: 500; line-height: 32px; } h2{ color: #4288ce;font-weight: 400; padding: 6px 0; margin: 6px 0 0; font-size: 18px; border-bottom: 1px solid #eee;} h3{ margin: 12px; font-size: 16px; font-weight: bold; } abbr{ cursor: help; text-decoration: underline; text-decoration-style: dotted; } a{ color: #868686;cursor: pointer; } a:hover{ text-decoration: underline; } .line-error{ background: #f8cbcb;} .echo table { width: 100%; } .echo pre { padding: 16px; overflow: auto; font-size: 85%; line-height: 1.45; background-color: #f7f7f7;border: 0; border-radius: 3px; font-family: Consolas, "Liberation Mono", Menlo, Courier, monospace; } .echo pre > pre { padding: 0; margin: 0; } /* Exception Info */.exception { margin-top: 20px; } .exception .message{ padding: 12px; border: 1px solid #ddd;border-bottom: 0 none; line-height: 18px; font-size:16px; border-top-left-radius: 4px; border-top-right-radius: 4px; font-family: Consolas,"Liberation Mono",Courier,Verdana,"微软雅黑"; } .exception .code{ float: left; text-align: center; color: #fff;margin-right: 12px; padding: 16px; border-radius: 4px; background: #999;} .exception .source-code{ padding: 6px; border: 1px solid #ddd;background: #f9f9f9;overflow-x: auto; } .exception .source-code pre{ margin: 0; } .exception .source-code pre ol{ margin: 0; color: #4288ce;display: inline-block; min-width: 100%; box-sizing: border-box; font-size:14px; font-family: "Century Gothic",Consolas,"Liberation Mono",Courier,Verdana; padding-left: <?php echo (isset($source) && !empty($source)) ? parse_padding($source) : 40; ?>px; } .exception .source-code pre li{ border-left: 1px solid #ddd;height: 18px; line-height: 18px; } .exception .source-code pre code{ color: #333;height: 100%; display: inline-block; border-left: 1px solid #fff;font-size:14px; font-family: Consolas,"Liberation Mono",Courier,Verdana,"微软雅黑"; } .exception .trace{ padding: 6px; border: 1px solid #ddd;border-top: 0 none; line-height: 16px; font-size:14px; font-family: Consolas,"Liberation Mono",Courier,Verdana,"微软雅黑"; } .exception .trace ol{ margin: 12px; } .exception .trace ol li{ padding: 2px 4px; } .exception div:last-child{ border-bottom-left-radius: 4px; border-bottom-right-radius: 4px; }/* Exception Variables */.exception-var table{ width: 100%; margin: 12px 0; box-sizing: border-box; table-layout:fixed; word-wrap:break-word; } .exception-var table caption{ text-align: left; font-size: 16px; font-weight: bold; padding: 6px 0; } .exception-var table caption small{ font-weight: 300; display: inline-block; margin-left: 10px; color: #ccc;} .exception-var table tbody{ font-size: 13px; font-family: Consolas,"Liberation Mono",Courier,"微软雅黑"; } .exception-var table td{ padding: 0 6px; vertical-align: top; word-break: break-all; } .exception-var table td:first-child{ width: 28%; font-weight: bold; white-space: nowrap; } .exception-var table td pre{ margin: 0; }/* Copyright Info */.copyright{ margin-top: 24px; padding: 12px 0; border-top: 1px solid #eee;}/* SPAN elements with the classes below are added by prettyprint. */pre.prettyprint .pln { color: #000 } /* plain text */pre.prettyprint .str { color: #080 } /* string content */pre.prettyprint .kwd { color: #008 } /* a keyword */pre.prettyprint .com { color: #800 } /* a comment */pre.prettyprint .typ { color: #606 } /* a type name */pre.prettyprint .lit { color: #066 } /* a literal value *//* punctuation, lisp open bracket, lisp close bracket */pre.prettyprint .pun, pre.prettyprint .opn, pre.prettyprint .clo { color: #660 }pre.prettyprint .tag { color: #008 } /* a markup tag name */pre.prettyprint .atn { color: #606 } /* a markup attribute name */pre.prettyprint .atv { color: #080 } /* a markup attribute value */pre.prettyprint .dec, pre.prettyprint .var { color: #606 } /* a declaration; a variable name */pre.prettyprint .fun { color: red } /* a function name */</style> </head> <body> <div class="echo"> <?php echo $echo;?> </div> <?php if(\think\facade\App::isDebug()) { ?><div class="exception"> <div class="message"> <div class="info"> <div> <h2>[<?php echo $code; ?>] <?php echo sprintf('%s in %s', parse_class($name), parse_file($file, $line)); ?></h2> </div> <div><h1><?php echo nl2br(htmlentities($message)); ?></h1></div> </div> </div> <?php if(!empty($source)){?><div class="source-code"> <pre class="prettyprint lang-php"><ol start="<?php echo $source['first']; ?>"><?php foreach ((array) $source['source'] as $key => $value) { ?><li class="line-<?php echo $key + $source['first']; ?>"><code><?php echo htmlentities($value); ?></code></li><?php } ?></ol></pre> </div> <?php }?> <div class="trace"> <h2>Call Stack</h2> <ol> <li><?php echo sprintf('in %s', parse_file($file, $line)); ?></li> <?php foreach ((array) $trace as $value) { ?><li><?php // Show Functionif($value['function']){echo sprintf('at %s%s%s(%s)', isset($value['class']) ? parse_class($value['class']) : '',isset($value['type']) ? $value['type'] : '', $value['function'], isset($value['args'])?parse_args($value['args']):''); }// Show lineif (isset($value['file']) && isset($value['line'])) {echo sprintf(' in %s', parse_file($value['file'], $value['line'])); }?></li><?php } ?></ol> </div> </div><?php } else { ?><div class="exception"> <div class="info"><h1><?php echo htmlentities($message); ?></h1></div> </div> <?php } ?> <?php if(!empty($datas)){ ?><div class="exception-var"> <h2>Exception Datas</h2> <?php foreach ((array) $datas as $label => $value) { ?><table><?php if(empty($value)){ ?><caption><?php echo $label; ?><small>empty</small></caption><?php } else { ?><caption><?php echo $label; ?></caption> <tbody><?php foreach ((array) $value as $key => $val) { ?><tr> <td><?php echo htmlentities($key); ?></td> <td><?php if(is_array($val) || is_object($val)){ echo htmlentities(json_encode($val, JSON_PRETTY_PRINT)); } else if(is_bool($val)) { echo $val ? 'true' : 'false'; } else if(is_scalar($val)) { $val = str_replace([Env::get('root_path')], './', $val);echo htmlentities($val); } else {echo 'Resource'; }?></td> </tr><?php } ?></tbody><?php } ?></table><?php } ?></div><?php } ?><?php if(!empty($tables)){ ?><div class="exception-var"> <h2>Environment Variables</h2> <?php foreach ((array) $tables as $label => $value) { ?><table><?php if(empty($value)){ ?><caption><?php echo $label; ?><small>empty</small></caption><?php } else { ?><caption><?php echo $label; ?></caption> <tbody><?php foreach ((array) $value as $key => $val) { ?><tr> <td><?php echo htmlentities($key); ?></td> <td><?php if(is_array($val) || is_object($val)){ echo htmlentities(json_encode($val, JSON_PRETTY_PRINT)); } else if(is_bool($val)) { echo $val ? 'true' : 'false'; } else if(is_scalar($val)) { $val = str_replace([Env::get('root_path')], './', $val);echo htmlentities($val); } else {echo 'Resource'; }?></td> </tr><?php } ?></tbody><?php } ?></table><?php } ?></div><?php } ?><div class="copyright"> <a title="官方网站" href="http://www.thinkphp.cn">ThinkPHP</a> <span>V<?php echo \think\facade\App::version(); ?></span> <span>{ 十年磨一剑-为API开发设计的高性能框架 }</span> </div><?php if(\think\facade\App::isDebug()) { ?><script>var LINE = <?php echo $line; ?>;function $(selector, node){var elements; node = node || document;if(document.querySelectorAll){ elements = node.querySelectorAll(selector); } else {switch(selector.substr(0, 1)){case '#': elements = [node.getElementById(selector.substr(1))];break;case '.':if(document.getElementsByClassName){ elements = node.getElementsByClassName(selector.substr(1)); } else { elements = get_elements_by_class(selector.substr(1), node); }break;default: elements = node.getElementsByTagName(); } }return elements;function get_elements_by_class(search_class, node, tag) {var elements = [], eles, pattern = new RegExp('(^|\\s)' + search_class + '(\\s|$)'); node = node || document; tag = tag || '*'; eles = node.getElementsByTagName(tag);for(var i = 0; i < eles.length; i++) {if(pattern.test(eles[i].className)) { elements.push(eles[i]) } }return elements; } } $.getScript = function(src, func){var script = document.createElement('script'); script.async = 'async'; script.src = src; script.onload = func || function(){}; $('head')[0].appendChild(script); } ;(function(){var files = $('.toggle');var ol = $('ol', $('.prettyprint')[0]);var li = $('li', ol[0]); // 短路径和长路径变换for(var i = 0; i < files.length; i++){ files[i].ondblclick = function(){var title = this.title; this.title = this.innerHTML; this.innerHTML = title; } }// 设置出错行var err_line = $('.line-' + LINE, ol[0])[0]; err_line.className = err_line.className + ' line-error'; $.getScript('//cdn.bootcss.com/prettify/r298/prettify.min.js', function(){ prettyPrint();// 解决Firefox浏览器一个很诡异的问题// 当代码高亮后,ol的行号莫名其妙的错位// 但是只要刷新li里面的html重新渲染就没有问题了if(window.navigator.userAgent.indexOf('Firefox') >= 0){ ol[0].innerHTML = ol[0].innerHTML; } }); })(); </script><?php } ?></body> </html>
关于 网站被扫描出“漏洞”,被要求整改,怎么解决?
3347 次阅读 |
1294 天前 |