网站被扫描出“漏洞”,被要求整改,怎么解决?
最后修改:2021-03-30 14:45:01
【原创技术日志】下的所有文章,都由昆明网成信息产业有限公司开发人员在工作中撰写,转载请注明来源于http://www.oneso.com/cms/document/detail/id/1.html
某天,有人打电话给你说,你的网站有漏洞,到某某地方,带上公章和U盘,来领整改通知和拷漏洞文件。
你一听,KAO,网站居然有漏洞,瞬间一惊。
如果是别人给你做的网站,你就会说,这都什么破公司,技术这个烂!
如果是自己做的网站,你会瞬间怀疑自己的技术水平!
首先,有人给你免费检测网站漏洞,是个好事情,要表示感谢。
其次,也不用太惊慌,因为所谓的漏洞,可能有几个,几十个,几百个,但大多都是些无关紧要的东西。
而最多的两个问题,就GET和POST请求参数没有过滤,其次就是错误信息暴露服务器的目录等问题。
下面来说一下怎么处理。
一、屏蔽不需要的访问。
这种检测系统,会构造出一大堆乱其八糟的网址来访问你的网站,这时,如果服务器上没有这个路径,一般会返回一个错误,如果错误中有服务器路径等,那么恭喜你,你会有几十个以上的“漏洞”了。
所以,通过网站路由来屏蔽掉这种检测请求,什么也不要返回,免得误报。
二、GET和POST请求参数没有过滤。
GET和POST请求参数没有过滤,是许多新手常犯的错误。遇到这种漏洞,确实要及时修复。
修复也很简单,只要过滤到危险的字符就行了。以PHP为例,你可以这样做。
$post = $_POST;
array_walk($post, function(&$v) {
$v = str_replace(['script','exec','eval','<','(','>',')','\\','/'],'', $v);
});
三 、错误日志信息
最简单的方式就是关闭错误显示。
PHP在php.ini中,设置 dispaly_errors = Off 或在程序中在PHP文件最上面加上error_reporting(0);
dispaly_errors = Off
error_reporting(0);
django则设置 settins.py文件中设置 DEBUG =0 即可
DEBUG = 0
四 、thinkphp错误日志的处理
为了调试程序,我们不能把错误信息都关了。
许多网站,都用thinkphp框架来开发。thinkphp的错误日志会显示出错文件的路径,这是“重大泄密”问题,那怎么改呢。
简单,改thinkphp/tpl/think_exception.tpl 文件。
以5.1 LTS版本为例具体改以下几个地方。
第45行加上
$item = str_replace([Env::get('root_path')], './', $item);第463行加上
$val = str_replace([Env::get('root_path')], './', $val);完整的改过的文件,如下,需要的拿走:
thinkphp/tpl/think_exception.tpl
<?phpif(!function_exists('parse_padding')){function parse_padding($source){
$length = strlen(strval(count($source['source']) + $source['first']));return 40 + ($length - 1) * 8;
}
}if(!function_exists('parse_class')){function parse_class($name){
$names = explode('\\', $name);return '<abbr title="'.$name.'">'.end($names).'</abbr>';
}
}if(!function_exists('parse_file')){function parse_file($file, $line){
$file = str_replace([Env::get('root_path')], './', $file);return '<a class="toggle" title="'."{$file} line {$line}".'">'.basename($file)." line {$line}".'</a>';
}
}if(!function_exists('parse_args')){function parse_args($args){
$result = [];foreach ($args as $key => $item) {switch (true) {case is_object($item):
$value = sprintf('<em>object</em>(%s)', parse_class(get_class($item)));break;case is_array($item):if(count($item) > 3){
$value = sprintf('[%s, ...]', parse_args(array_slice($item, 0, 3)));
} else {
$value = sprintf('[%s]', parse_args($item));
}break;case is_string($item):if(strlen($item) > 20){
$item = str_replace([Env::get('root_path')], './', $item);
$value = sprintf('\'<a class="toggle" title="%s">%s...</a>\'',
htmlentities($item),
htmlentities(substr($item, 0, 20))
);
} else {
$value = sprintf("'%s'", htmlentities($item));
}break;case is_int($item):case is_float($item):
$value = $item;break;case is_null($item):
$value = '<em>null</em>';break;case is_bool($item):
$value = '<em>' . ($item ? 'true' : 'false') . '</em>';break;case is_resource($item):
$value = '<em>resource</em>';break;default:
$value = htmlentities(str_replace("\n", '', var_export(strval($item), true)));break;
}
$result[] = is_int($key) ? $value : "'{$key}' => {$value}";
}return implode(', ', $result);
}
}?><!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>系统发生错误</title>
<meta name="robots" content="noindex,nofollow" />
<style>/* Base */body {
color: #333;font: 16px Verdana, "Helvetica Neue", helvetica, Arial, 'Microsoft YaHei', sans-serif;
margin: 0;
padding: 0 20px 20px;
}
h1{
margin: 10px 0 0;
font-size: 28px;
font-weight: 500;
line-height: 32px;
}
h2{
color: #4288ce;font-weight: 400;
padding: 6px 0;
margin: 6px 0 0;
font-size: 18px;
border-bottom: 1px solid #eee;}
h3{
margin: 12px;
font-size: 16px;
font-weight: bold;
}
abbr{
cursor: help;
text-decoration: underline;
text-decoration-style: dotted;
}
a{
color: #868686;cursor: pointer;
}
a:hover{
text-decoration: underline;
}
.line-error{
background: #f8cbcb;}
.echo table {
width: 100%;
}
.echo pre {
padding: 16px;
overflow: auto;
font-size: 85%;
line-height: 1.45;
background-color: #f7f7f7;border: 0;
border-radius: 3px;
font-family: Consolas, "Liberation Mono", Menlo, Courier, monospace;
}
.echo pre > pre {
padding: 0;
margin: 0;
} /* Exception Info */.exception {
margin-top: 20px;
}
.exception .message{
padding: 12px;
border: 1px solid #ddd;border-bottom: 0 none;
line-height: 18px;
font-size:16px;
border-top-left-radius: 4px;
border-top-right-radius: 4px;
font-family: Consolas,"Liberation Mono",Courier,Verdana,"微软雅黑";
}
.exception .code{
float: left;
text-align: center;
color: #fff;margin-right: 12px;
padding: 16px;
border-radius: 4px;
background: #999;}
.exception .source-code{
padding: 6px;
border: 1px solid #ddd;background: #f9f9f9;overflow-x: auto;
}
.exception .source-code pre{
margin: 0;
}
.exception .source-code pre ol{
margin: 0;
color: #4288ce;display: inline-block;
min-width: 100%;
box-sizing: border-box;
font-size:14px;
font-family: "Century Gothic",Consolas,"Liberation Mono",Courier,Verdana;
padding-left: <?php echo (isset($source) && !empty($source)) ? parse_padding($source) : 40; ?>px;
}
.exception .source-code pre li{
border-left: 1px solid #ddd;height: 18px;
line-height: 18px;
}
.exception .source-code pre code{
color: #333;height: 100%;
display: inline-block;
border-left: 1px solid #fff;font-size:14px;
font-family: Consolas,"Liberation Mono",Courier,Verdana,"微软雅黑";
}
.exception .trace{
padding: 6px;
border: 1px solid #ddd;border-top: 0 none;
line-height: 16px;
font-size:14px;
font-family: Consolas,"Liberation Mono",Courier,Verdana,"微软雅黑";
}
.exception .trace ol{
margin: 12px;
}
.exception .trace ol li{
padding: 2px 4px;
}
.exception div:last-child{
border-bottom-left-radius: 4px;
border-bottom-right-radius: 4px;
}/* Exception Variables */.exception-var table{
width: 100%;
margin: 12px 0;
box-sizing: border-box;
table-layout:fixed;
word-wrap:break-word;
}
.exception-var table caption{
text-align: left;
font-size: 16px;
font-weight: bold;
padding: 6px 0;
}
.exception-var table caption small{
font-weight: 300;
display: inline-block;
margin-left: 10px;
color: #ccc;}
.exception-var table tbody{
font-size: 13px;
font-family: Consolas,"Liberation Mono",Courier,"微软雅黑";
}
.exception-var table td{
padding: 0 6px;
vertical-align: top;
word-break: break-all;
}
.exception-var table td:first-child{
width: 28%;
font-weight: bold;
white-space: nowrap;
}
.exception-var table td pre{
margin: 0;
}/* Copyright Info */.copyright{
margin-top: 24px;
padding: 12px 0;
border-top: 1px solid #eee;}/* SPAN elements with the classes below are added by prettyprint. */pre.prettyprint .pln { color: #000 } /* plain text */pre.prettyprint .str { color: #080 } /* string content */pre.prettyprint .kwd { color: #008 } /* a keyword */pre.prettyprint .com { color: #800 } /* a comment */pre.prettyprint .typ { color: #606 } /* a type name */pre.prettyprint .lit { color: #066 } /* a literal value *//* punctuation, lisp open bracket, lisp close bracket */pre.prettyprint .pun, pre.prettyprint .opn, pre.prettyprint .clo { color: #660 }pre.prettyprint .tag { color: #008 } /* a markup tag name */pre.prettyprint .atn { color: #606 } /* a markup attribute name */pre.prettyprint .atv { color: #080 } /* a markup attribute value */pre.prettyprint .dec, pre.prettyprint .var { color: #606 } /* a declaration; a variable name */pre.prettyprint .fun { color: red } /* a function name */</style>
</head>
<body>
<div class="echo">
<?php echo $echo;?>
</div>
<?php if(\think\facade\App::isDebug()) { ?><div class="exception">
<div class="message">
<div class="info">
<div>
<h2>[<?php echo $code; ?>] <?php echo sprintf('%s in %s', parse_class($name), parse_file($file, $line)); ?></h2>
</div>
<div><h1><?php echo nl2br(htmlentities($message)); ?></h1></div>
</div>
</div>
<?php if(!empty($source)){?><div class="source-code">
<pre class="prettyprint lang-php"><ol start="<?php echo $source['first']; ?>"><?php foreach ((array) $source['source'] as $key => $value) { ?><li class="line-<?php echo $key + $source['first']; ?>"><code><?php echo htmlentities($value); ?></code></li><?php } ?></ol></pre>
</div>
<?php }?>
<div class="trace">
<h2>Call Stack</h2>
<ol>
<li><?php echo sprintf('in %s', parse_file($file, $line)); ?></li>
<?php foreach ((array) $trace as $value) { ?><li><?php // Show Functionif($value['function']){echo sprintf('at %s%s%s(%s)', isset($value['class']) ? parse_class($value['class']) : '',isset($value['type']) ? $value['type'] : '',
$value['function'], isset($value['args'])?parse_args($value['args']):'');
}// Show lineif (isset($value['file']) && isset($value['line'])) {echo sprintf(' in %s', parse_file($value['file'], $value['line']));
}?></li><?php } ?></ol>
</div>
</div><?php } else { ?><div class="exception">
<div class="info"><h1><?php echo htmlentities($message); ?></h1></div>
</div>
<?php } ?>
<?php if(!empty($datas)){ ?><div class="exception-var">
<h2>Exception Datas</h2>
<?php foreach ((array) $datas as $label => $value) { ?><table><?php if(empty($value)){ ?><caption><?php echo $label; ?><small>empty</small></caption><?php } else { ?><caption><?php echo $label; ?></caption>
<tbody><?php foreach ((array) $value as $key => $val) { ?><tr>
<td><?php echo htmlentities($key); ?></td>
<td><?php if(is_array($val) || is_object($val)){ echo htmlentities(json_encode($val, JSON_PRETTY_PRINT));
} else if(is_bool($val)) { echo $val ? 'true' : 'false';
} else if(is_scalar($val)) {
$val = str_replace([Env::get('root_path')], './', $val);echo htmlentities($val);
} else {echo 'Resource';
}?></td>
</tr><?php } ?></tbody><?php } ?></table><?php } ?></div><?php } ?><?php if(!empty($tables)){ ?><div class="exception-var">
<h2>Environment Variables</h2>
<?php foreach ((array) $tables as $label => $value) { ?><table><?php if(empty($value)){ ?><caption><?php echo $label; ?><small>empty</small></caption><?php } else { ?><caption><?php echo $label; ?></caption>
<tbody><?php foreach ((array) $value as $key => $val) { ?><tr>
<td><?php echo htmlentities($key); ?></td>
<td><?php if(is_array($val) || is_object($val)){ echo htmlentities(json_encode($val, JSON_PRETTY_PRINT));
} else if(is_bool($val)) { echo $val ? 'true' : 'false';
} else if(is_scalar($val)) {
$val = str_replace([Env::get('root_path')], './', $val);echo htmlentities($val);
} else {echo 'Resource';
}?></td>
</tr><?php } ?></tbody><?php } ?></table><?php } ?></div><?php } ?><div class="copyright">
<a title="官方网站" href="http://www.thinkphp.cn">ThinkPHP</a>
<span>V<?php echo \think\facade\App::version(); ?></span>
<span>{ 十年磨一剑-为API开发设计的高性能框架 }</span>
</div><?php if(\think\facade\App::isDebug()) { ?><script>var LINE = <?php echo $line; ?>;function $(selector, node){var elements;
node = node || document;if(document.querySelectorAll){
elements = node.querySelectorAll(selector);
} else {switch(selector.substr(0, 1)){case '#':
elements = [node.getElementById(selector.substr(1))];break;case '.':if(document.getElementsByClassName){
elements = node.getElementsByClassName(selector.substr(1));
} else {
elements = get_elements_by_class(selector.substr(1), node);
}break;default:
elements = node.getElementsByTagName();
}
}return elements;function get_elements_by_class(search_class, node, tag) {var elements = [], eles,
pattern = new RegExp('(^|\\s)' + search_class + '(\\s|$)');
node = node || document;
tag = tag || '*';
eles = node.getElementsByTagName(tag);for(var i = 0; i < eles.length; i++) {if(pattern.test(eles[i].className)) {
elements.push(eles[i])
}
}return elements;
}
}
$.getScript = function(src, func){var script = document.createElement('script');
script.async = 'async';
script.src = src;
script.onload = func || function(){};
$('head')[0].appendChild(script);
}
;(function(){var files = $('.toggle');var ol = $('ol', $('.prettyprint')[0]);var li = $('li', ol[0]); // 短路径和长路径变换for(var i = 0; i < files.length; i++){
files[i].ondblclick = function(){var title = this.title;
this.title = this.innerHTML;
this.innerHTML = title;
}
}// 设置出错行var err_line = $('.line-' + LINE, ol[0])[0];
err_line.className = err_line.className + ' line-error';
$.getScript('//cdn.bootcss.com/prettify/r298/prettify.min.js', function(){
prettyPrint();// 解决Firefox浏览器一个很诡异的问题// 当代码高亮后,ol的行号莫名其妙的错位// 但是只要刷新li里面的html重新渲染就没有问题了if(window.navigator.userAgent.indexOf('Firefox') >= 0){
ol[0].innerHTML = ol[0].innerHTML;
}
});
})();
</script><?php } ?></body>
</html>关于 网站被扫描出“漏洞”,被要求整改,怎么解决?
| 4259 次阅读 |
| 1680 天前 |