Web应用中常见39种不同的安全漏洞漏洞分析及检查方法

《Web应用中常见39种不同的安全漏洞漏洞分析及检查方法》由会员分享，可在线阅读，更多相关《Web应用中常见39种不同的安全漏洞漏洞分析及检查方法（27页珍藏版）》请在装配图网上搜索。

1、Web应用中常见39种不同的安全漏洞漏洞分析及检査方法1.1 SQL 注入漏洞风险等级：高危漏洞描述：SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验，即没有进行有效地特殊字符过滤，导致网站服务器存在安全 风险，这就是SQL Injection，即SQL注入漏洞。漏洞危害：1）机密数据被窃取；2）核心业务数据被篡改；3）网页被篡改；4）数据库所在服务器被攻击从而变为傀儡主机，导致局域网（内网）被入侵。 修复建议：1）在网页代码中对用户输入的数据进行严格过滤；（代码层）2）部署Web应用防火墙；（设备层）3）对数据库操作进行监控。（数据库层）代码层最佳防御s

2、ql漏洞方案：采用sql语句预编译和绑定变量，是防御sql注 入的最佳方法。原因 采用了 PreparedStatement，就会将 sql 语句:select id, no from user where id二?预先编译好，也就是SQL引擎会预先进行语法分析，产生语法树，生成执 行计划，也就是说，后面你输入的参数，无论你输入的是什么，都不会影响该 sql语句的语法结构了，因为语法分析已经完成了，而语法分析主要是分析sql 命令，比如select from ,where ,and, or ,order by等等。所以即使你后面输入了这些sql命令，也不会被当成sql命令来执行了，因为这些sq

3、l命令的执行，必 须先的通过语法分析，生成执行计划，既然语法分析已经完成，已经预编译过了， 那么后面输入的参数，是绝对不可能作为sql命令来执行的，只会被当做字符串 字面值参数，所以sql语句预编译可以防御sql注入。其他防御方式：正则过滤1.2 目录遍历漏洞风险等级：中危漏洞描述：通过该漏洞可以获取系统文件及服务器的配置文件。利用服务器API、文件标准 权限进行攻击。漏洞危害：黑客可获得服务器上的文件目录结构，从而下载敏感文件。修复建议：1）通过修改配置文件，去除中间件（如IIS、apache、tomcat）的文件目录索引功能2）设置目录权限3）在每个目录下创建一个空的index.html页

4、面。1.3 跨站脚本漏洞即XSS漏洞，利用跨站脚本漏洞可以在网站中插入任意代码，它能够获取网站管 理员或普通用户的cookie，隐蔽运行网页木马，甚至格式化浏览者的硬盘。漏洞危害：1) 网络钓鱼，盗取管理员或用户帐号和隐私信息等；2) 劫持合法用户会话，利用管理员身份进行恶意操作，篡改页面内容、进一步 渗透网站；3) 网页挂马、传播跨站脚本蠕虫等；4) 控制受害者机器向其他系统发起攻击。修复建议：设置 httponlyhttponly无法完全的防御xss漏洞，它只是规定了不能使用js去获取cookie的内 容，因此它只能防御利用xss进行cookie劫持的问题。Httponly是在set-co

5、okie 时标记的，可对单独某个参数标记也可对全部参数标记。由于设置httponly的方 法比较简单，使用也很灵活，并且对防御cookie劫持非常有用，因此已经渐渐 成为一种默认的标准。xss filterXss filte r往往是一个文本文件，里面包含了允许被用户输入提交的字符(也有些 是包含不允许用户提交的字符)。它检测的点在于用户输入的时候，xss filte r分 为白名单与黑名单，推荐使用白名单，但即使使用白名单还是无法完全杜绝xss 问题，并且使用不当可能会带来很高的误报率。编码转义编码方式有很多，比如html编码、url编码、16进制编码、javascript编码等。 在处理用

6、户输入时，除了用xss filter的方式过滤一些敏感字符外，还需要配合编 码，将一些敏感字符通过编码的方式改变原来的样子，从而不能被浏览器当成js 代码执行。处理富文本有些网页编辑器允许用户提交一些自定义的html代码，称之为”富文本”。想要 在富文本处防御xss漏洞，最简单有效的方式就是控制用户能使用的标签，限制 为只能使用a、div等安全的标签。处理所有输出类型的xss漏洞XSS漏洞本质上是一种html注入，也就是将html代码注入到网页中。那么其防 御的根本就是在将用户提交的代码显示到页面上时做好一系列的过滤与转义。其他修复方案1）开发者应该严格按照openid和openkey的校验规

7、则判断openid和openkey是否合法，且判断其它参数的合法性，不合法不返回任何内容。2）严格限制URL参数输入值的格式，不能包含不必要的特殊字符（ %0d、%0a、%0D 、%0A 等）。3）针对ASP.NET的防XSS库，Microsoft有提供统一的库，具体可以参见如下链接微软官网：msdnmicrosoft/enus/library/aa973813aspx4）具体的js方法如下：对于用户输入的参数值展现在HTML正文中或者属性值中的情况，例如： 展现在 html 正文中:contosoUntrustedinput展现在属性值中： 此时 需要将红色的不可信内容中做如下的转码（即将

8、“转成html实体）：对于用户输入落在sc ript 的内容中的情况，例如: var mymsg=Un-trusted input; varuin=Un-trusted input; 14未过滤HTML代码漏洞由于页面未过滤HTML代码，攻击者可通过精心构造XSS代码（或绕过防火墙 防护策略），实现跨站脚本攻击等。可带来如下危害：1）恶意用户可以使用JavaScript、VBScript、ActiveX、HTML语言甚至Flash利 用应用的漏洞，从而获取其他用户信息；2）攻击者能盗取会话cookie、获取账户、模拟其他用户身份，甚至可以修改网 页呈现给其他用户的内容。修复建议：1）严格过滤用

9、户输入的数据。2）参考跨站脚本漏洞修复方案。15据库运行出错网站存在数据库运行出错，由于网页数据交换出错，攻击者可获取报错中的敏感 信息。I 口 心、o可带来如下危害：1） 机密数据被窃取； 2) 攻击者通过构造特殊 URL 地址，触发系统 web 应用程序报错，在回显内容 中，获取网站敏感信息；3) 攻击者利用泄漏的敏感信息，获取网站服务器 web 路径，为进一步攻击提供 帮助。修复建议：1) 检查数据库缓存是否溢出，是否具有失效的配置管理、禁用一切不必要的功 能；2) 对网站错误信息进行统一返回，模糊化处理。1.6 Flash 安全配置缺陷漏洞网站存在 Flash 安全配置缺陷，该漏洞可导

10、致跨域访问，让用户访问非法 Flash 文件。1) allowScriptAccess :是否允许flash访问浏览器脚本。如果不对不信任的flash 限制，默认会允许调用浏览器脚本，产生 XSS 漏洞。always (默认值)，总是允许；sameDomain，同域允许；never，不允许2) allowNetworking :是否允许flash访问ActionScript中的网络API。如果不对 不信任的flash限制，会带来flash弹窗、CSRF等问题。all，允许所有功能，会带来flash弹窗危害；internal，可以向外发送请求/加载网 页；none，无法进行任何网络相关动作(业务

11、正常功能可能无法使用) 可带来如下危害：网站的Flash配置文件crossdomain.xml配置不当，存在Flash跨域攻击安全隐患。 修复建议：1) 修改flash安全策略，做严格限制，比如限制到网站当前域；2) 找到相应目录下的crossdomain.xml文件，找到代码：cross-domain-policy allow-access-fromdomain二* cross-domain-policy 改成：cross-domain-policy allow-access-from domain二改成你的网站地址 cross-domain-policy。1.7 FCK编辑器泄露漏洞漏洞描

12、述利用此漏洞攻击者可访问编辑器页面，上传图片。漏洞危害1) 由于网站编辑器没有对管理员登录进行校验，导致任意用户访问编辑器；2) 利用编辑器漏洞查看网站全硬盘目录。修复建议对编辑器页面进行访问控制，禁止未授权访问，并升级fck编辑器版本。1.8 FCKeditor任意文件上传漏洞FCKeditor版本低于或等于243时网站存在任意文件上传漏洞，可以利用该漏洞 上传任意文件。可带来如下危害：1) 由于目标网站未做上传格式的限制，导致网站、数据库和服务器有被入侵的风险；2) 可能导致网站被攻击者控制，网站数据被窃取、网页被篡改等。修复建议：1）设置FCKeditor编辑器相关页面在未授权的前提下无

13、法正常访问，和限制FCK上传文件的格式；2）下载并更新至FCKeditor的最新版本。1.9 URL Redirect 漏洞即 URL 重定向漏洞，通过将 URL 修改为指向恶意站点，攻击者可以成功发起网 络钓鱼诈骗并窃取用户凭证。可带来如下危害：1）Web 应用程序执行指向外部站点的重定向；2）攻击者可能会使用 Web 服务器攻击其他站点，这将增加匿名性。修复建议：1）在网页代码中需要对用户输入的数据进行严格过滤；（代码层）2）部署Web应用防火墙。（设备层）1.10 文件上传漏洞网站存在任意文件上传漏洞，文件上传功能没有进行格式限制，容易被黑客利用 上传恶意脚本文件。可带来如下危害：1.

14、攻击者可通过此漏洞上传恶意脚本文件，对服务器的正常运行造成安全威 胁；2. 攻击者可上传可执行的WebShell （如php、jsp、asp类型的木马病毒）， 或者利用目录跳转上传 gif、html、config 文件，覆盖原有的系统文件，到达获 取系统权限的目的。修复建议：1. 对上传文件格式进行严格校验及安全扫描，防止上传恶意脚本文件；2. 设置权限限制，禁止上传目录的执行权限；3. 严格限制可上传的文件类型；4. 严格限制上传的文件路径。5. 文件扩展名服务端白名单校验。6. 文件内容服务端校验。7. 上传文件重命名。8. 隐藏上传文件路径。1.11 后台弱口令漏洞网站管理后台用户名密码

15、较为简单或为默认，易被黑客利用。可带来如下危害：1) 攻击者利用弱口令登录网站管理后台，可任意增删文章等造成负面影响；2) 攻击者可进一步查看网站信息，获取服务器权限，导致局域网(内网)被入侵。修复建议：1) 对管理后台进行访问控制，修改后台弱口令，加强口令强度并定期修改。2) 增加验证机制，防爆破机制，限制 ipcookie 访问次数。1.12 敏感信息泄漏由于网站运维人员疏忽，存放敏感信息的文件被泄露或由于网站运行出错导致敏 感信息泄露。可带来如下危害：1. 攻击者可直接下载用户的相关信息，包括网站的绝对路径、用户的登录名、 密码、真实姓名、身份证号、电话号码、QQ号等；2. 攻击者通过构

16、造特殊 URL 地址，触发系统 web 应用程序报错，在回显内容中，获取网站敏感信息；3. 攻击者利用泄漏的敏感信息，获取网站服务器 web 路径，为进一步攻击提供帮助。修复建议：1.对网站错误信息进行统一返回，模糊化处理；2.对存放敏感信息的文件进行加密并妥善储存，避免泄漏敏感信息。1.13 未加密登录请求漏洞 网站对用户登录认证信息未进行加密，敏感信息以明文形式进行传送，易在传输 过程中被获取。可带来如下危害： 易造成用户敏感信息泄露与篡改。修复建议：建议通过加密连接（如SSL）方式进行敏感信息的传送。1.14 后台口令暴力破解 由于网站管理后台系统登录无验证码校验，可导致后台用户名密码被

17、暴力破解。 可带来如下危害：1. 攻击者可利用该漏洞无限次提交用户名密码，从而可以暴力破解后台用户名及密码；2. 暴力破解后登录其中一个帐号可进管理后台，攻击者登录网站后台任意增删文章等造成负面影响；3. 攻击者可进一步登陆后台查看网站信息、上传恶意脚本文件，获取服务器权限，导致局域网（内网）被入侵。修复建议：1. 对该页面进行访问控制，禁止外网 IP 或非法 IP 访问后台页面，并增加验证码校验，加强帐号锁定机制。2. 增加 ipcookie 配置方式限制访问频率。1.15 跨站请求伪造跨站请求伪造，即CSRF，攻击者通过伪造来自受信任用户的请求，达到增加、 删除、篡改网站内容的目的。可带来

18、的危害： 攻击者冒充用户/管理员，伪造请求，进行篡改、转帐、改密码、发邮件等非法 操作。修复建议：1）过滤用户输入，不允许发布含有站内操作 URL 的链接；2）改良站内API的设计，关键操作使用验证码只接受POST请求，GET请求 应该只浏览而不改变服务器端资源；3）对于web站点，将持久化的授权方法（例如cookie或者HTTP授权）切换 为瞬时的授权方法（在每个form中提供隐藏field）；4）在浏览其它站点前登出站点或者在浏览器会话结束后清理浏览器的 cookie。服务端的防御：1）验证 HTTP Referer 字段。2）请求地址中添加token并验证（token不放在cookie中

19、，放在http请求参数 中，服务端对其进行验证）3）将token加入http头属性中，避免了 token出现在浏览器中，被泄露。 客户端防御：为了配合服务端对token的验证，那么客户端也需要在访问时生成token，这是利用 js 来给 html 中的链接和表单请求地址附加 csrftoken 代码，其中已定义 token 为全局变量，其值可以从 session 中得到。1.16 Unicode 编码转换漏洞漏洞等级：中危该漏洞由于Unicode在编码转换过程中会忽略某些字符，导致攻击者可插入该字 符绕过安全设备的检测。可带来如下危害：黑客可通过插入特殊字符，可拆分攻击的关键词，绕过安全设备的

20、检测。 修复建议：1）修改中间件，过滤特殊字符。2）部署Web应用防火墙1.17 Possible .Net Error Message 漏洞等级：中危网站存在.net报错信息，由于网站未配置统一错误返回页面，导致aspx出错并显示出错误信息。可带来如下危害：黑客可通过特殊的攻击向量，有可能泄漏如绝对路径、源代码、sql语句等敏感信息，恶意攻击者很有可能利用这些信息实施进一步的攻击。修复建议：关闭PHP错误回显，或修正代码。1.18 发生内部错误漏洞描述500 Internal Server Error。漏洞危害攻击者向服务器提交精心构造的恶意数据后，有可能导致服务器出现内部错误、 服务器宕机

21、或数据库错乱。修复建议1) 严格过滤用户输入的数据。2) 服务器错误统一模糊处理，或者跳转到首页404页面。1.19 SVN源代码泄漏由于目标网站没有及时清除SVN服务器连接时的残留信息，导致存在此漏洞。可带来如下危害：1. 攻击者可利用该漏洞下载网站的源代码，获得数据库的连接密码等敏感信息；心、/2. 攻击者可通过源代码分析出新的系统漏洞，从而进一步入侵系统 修复建议：删除指定SVN生成的各种文件，女I如“/.svn/entries”等。1.20 旁站攻击漏洞多家网站在同一台服务器上，因一个网站存在致命高危漏洞，导致整台服务器被 入侵。可带来如下危害：1. 服务器上的所有网站均可被获得控制权

22、限，攻击者可利用该漏洞登录网站 后台任意增删文章等造成负面影响；2. 攻击者可通过旁站服务器漏洞进入网站内网对其他服务器进行进一步攻修复建议：1. 修补同一台服务器上的其他网站漏洞；2. 建议每个网站单独服务器运行。1.21 后台登录页面绕过越权操作，可直接通过访问后台地址进行访问，绕过登陆限制。可带来如下危害：1. 旦入侵者发现后台url,便可进入后台页面，进行非法操作修复建议：1. 对后台所有url做好权限设置。2. 禁止外网访问后台地址。1.22 CVS 信息泄漏漏洞描述由于目标网站没有及时清除CVS服务器连接时的残留信息，导致存在此漏洞。漏洞测试访问/ cvs/等页面，若出现下图内容，

23、贝I表示存在此漏洞。前面是用户名 后面是服务器地址漏洞危害1) 攻击者可利用该漏洞下载网站的源代码，获得数据库的连接密码等敏感信息；2) 攻击者可通过源代码分析出新的系统漏洞，从而进一步入侵系统。 修复建议删除指定CVS生成的各种文件，如“/CVS/Root”等。1.23 Possible PHP Error Message网站存在Possible PHP Error Message,由于网站未配置统一错误返回页面，导 致PHP出错并显示出错误信息可带来如下危害：黑客可通过特殊的攻击向量，有可能泄漏如绝对路径、源代码、sql语句等敏感 信息，恶意攻击者很有可能利用这些信息实施进一步的攻击。修复

24、建议：关闭PHP错误回显，或修正代码。124 HPP漏洞漏洞描述即 http 参数污染，它是 web 容器处理 http 参数时的问题。比如访问URL:.xxx./index.php?str二hello 此时，页面显示 hello。但如果访问:.xxx./index.php?str二hello&str二world&str二nmask 此时，页面显示 nmask，扌巴 前面参数的值给覆盖了，这就是 http 参数污染。可带来的危害：用来绕过 WAF修复建议：修改 web 容器处理机制1.25 File Operation-Webxml 漏洞攻击者可以通过文件内容泄漏漏洞（或文件包含漏洞）获取敏感

25、文件的内容，或 直接执行其指定的恶意脚本，进得Web服务器的控制权限。可带来如下危害：1）文件内容泄漏漏洞（或文件包含漏洞）允许攻击者读取服务器中的任意文件， 或通过特殊的指令将脚本源码文件的内容合并至当前的文件中执行。2）很多脚本语言允许通过特殊的指令（如PHP通过require关键字）将其他脚 本源码文件的内容合并至当前的文件中执行，如果这些特殊的指令在包含的文件 路径中含有用户提交的数据，则恶意攻击者就有可能通过构造特殊的数据将WEB 服务器限制访问的文件内容（如操作系统或某些重要应用的配置文件）包含进来 并通过浏览器获取其内容，这种方式通常称为本地文件包含；如果应用程序的配置还允许包含

26、远程的其他服务器上的文件，恶意攻击者就有可能构造特殊的脚本然后通过包含并予以执行，进而获取WEB应用的敏感数据或控制权。修复建议：1) 如果可能，使用包含指令时显式指定包含的文件名称；2) 如果必须通过用户的输入指定包含的文件，则最好分析用户的输入，然后从 文件白名单中显式地选择；3) 请对用户的输入进行严格的过滤，确保其包含的文件在预定的目录中或不能 包含 URL 参数。1.26 短文件名泄漏漏洞漏洞等级：中危漏洞描述该漏洞由于 Windows 处理较长文件名时为方便使用较短的文件名代替，攻击者 可利用该漏洞尝试获取网站服务器下的文件名。漏洞危害黑客可通过该漏洞尝试获取网站服务器下存放文件的

27、文件名，达到获取更多信息 来入侵服务器的目的。修复建议1) 修改 Windows 配置，关闭短文件名功能。2) 部署Web应用防火墙，防止攻击者批量尝试。127 OS注入漏洞风险等级：高危漏洞描述：网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验，允许用户能够提交系统命令操作，会导致攻击者能控制整个服务器。漏洞危害：攻击者可以执行任意操作系统命令，进行恶意攻击；修复建议：1) 禁止调用系统问题；2) 部署Web应用防火墙；3) 过滤用户输入；1.28 SOAP注入漏洞风险等级：高危漏洞描述：用户提交的数据直接插入到 SOAP 消息中，攻击者可以破坏消息的结构，从而实现 SOAP 注

28、入。漏洞危害：攻击者可以改变应用程序的逻辑，修改数据。修复建议：在用户提交的数据被插入 SOAP 消息的实施边界进行过滤1.29 XPATH注入漏洞风险等级：高危漏洞描述：网站使用XPath访问数据，响应用户提交的输入。如果用户的输入未经过过滤就插入到XPath的查询中，攻击者就可以通过控制查询语句来破坏应用程序，或者 获取未授权访问的数据。漏洞危害：攻击者可以改变应用程序的逻辑，修改数据。修复建议：1) 在网页代码中对用户输入的数据进行严格过滤；2) 部署Web应用防火墙；、1.30 SMTP注入漏洞风险等级：高危漏洞描述：在电子邮件功能中，攻击者可在会话中注入任意SMTP命令，完全控制应用

29、程序 的消息。漏洞危害：篡改用户的邮件内容修复建议：1) 在客户端代码中对用户输入的数据进行严格过滤；2) 部署 Web 应用防火墙；131 LDAP注入漏洞风险等级：高危漏洞描述：LDAP 是一种轻量级目录访问协议，可以用来保存信息。如果在查询语句中插入恶意代码，可以修改返回的结果漏洞危害：机密数据被窃取；修复建议：1) 在查询中对用户输入的数据进行严格过滤；2) 部署Web应用防火墙；1.32 命令执行漏洞风险等级：高危漏洞描述：命令执行漏洞是指代码未对用户可控参数做过滤，导致直接带入执行命令的代码 中，对恶意构造的语句，可被用来执行任意命令。漏洞危害：黑客可在服务器上执行任意命令，写入后

30、门，从而入侵服务器，获取服务器的管 理员权限，危害巨大。修复建议：严格过滤用户输入的数据，禁止执行系统命令1.33 HTTP消息头注入漏洞漏洞描述：用户控制的数据以不安全的方式插入到应用程序返回的 HTTP 消息头中，如果攻 击者能够在消息头中注入换行符，就能在响应中插入其他HTTP消息头，并在响 应主体中写入任意内容。漏洞检测： 通过修改参数来判断是否存在漏洞。比如国内某著名网站曾经出现过 header 注 入漏洞，如下url：.YYYYYYYYY./YYYYWeb/jsp/website/agentInvoke.jsp?agentid=%0D%0AX-foo :%20bar抓包时发现：HT

31、TP/l,1 302 FoundDate: Fr lf 162010 01 6:03 GSTservec： xpmcjk/z.a,w iunix)5urrogat e-Coutr1: ao-storeLoaacion! htcp;/wuv.cHalnServiet?acclonBS_HEB_He咼1c0P%0*X-tQO；%30ijfti：伪造 headerContent*-Length: Set-Cookie: agentii护 oo* Xc *曲17ExpiueT: tRG 01 Dec 199H 16:00100 GUTCacrme-Concrol; no-GfcGh-tsec-GGOK

32、lej 3ec-c&okie2*T|HioodL*i小木人E卩象Keep-MLlvie$ L-ineout.* 15； man- Connection; cep-klive Consent-Type; text/ hwalj C7fcar3tt.=GBKLang-uwe： cn-US漏洞危害：利用 HTTP 消息头注入漏洞可以控制用户访问页面的返回结果,执行恶意代码。 修复建议：1) 不要把用户控制的输入插入到应用程序返回的 HTTP 消息头中;2) 部署 Web 应用防火墙。a) 在设置HTTP响应头的代码中，过滤回车换行(%0d%0a、0D%0A)字符。 b) 不采用有漏洞版本的 apac

33、he 服务器，同时对参数做合法性校验以及长度限 制，谨慎的根据用户所传入参数做 http 返回包的 header 设置。1.34 验证机制缺陷漏洞风险等级：中危漏洞描述：由于网站管理后台系统登录无验证码校验，可导致后台用户名密码被暴力破解。 漏洞危害：1) 攻击者可利用该漏洞无限次提交用户名密码，从而可以暴力破解后台用户 名及密码；2) 暴力破解后登录其中一个帐号可进管理后台，攻击者登录网站后台任意增 删文章等造成负面影响；3) 攻击者可进一步登陆后台查看网站信息、上传恶意脚本文件，获取服务器 权限，导致局域网(内网)被入侵。修复建议：对该页面进行访问控制，禁止外网 IP 或非法 IP 访问后

34、台页面，并增加验证码校 验，加强帐号锁定机制。1.35 文件包含漏洞漏洞描述：文件包含漏洞多数情况出现在 PHP 中，当然 jsp 中也存在，文件包含分为本地包 含与远程包含。漏洞危害：1) 绕过WAF上传木马文件2) 加载有害的远程内容，影响程序运行。漏洞修复：1) 关闭 allow_url_fopen2) 避免使用 include 参数3) 使用web检测文件内容1.36 Elasticsearch 未授权访问漏洞漏洞描述elasticsearch 是一款 java 编写的企业级搜索服务，启动此服务默认会开放 9200 端口，可被非法操作数据。漏洞检测检测：默认端口 9200相当于一个AP

35、I,任何人访问这个地址，就可以调用api,进行数据的增删改操 作。漏洞危害可被非法操作数据,对网站数据造成影响。修复方案1) 关闭9200 端口2) 防火墙上设置禁止外网访问此端口。1.37 Git 源代码泄露漏洞漏洞描述服务器将.git文件放在了 web目录下，导致可以访问git文件内容，获取源代码。漏洞验证验证访问网站.git目录：可以看到git 目录可以被访问，即存在此漏洞。漏洞危害可以通过此漏洞，获取项目源代码。漏洞修复1) 删除网站目录下的.git文件2) 中间件上设置.git目录访问权限，禁止访问3) 防火墙上设置禁止访问此目录1.38 PHPInfoO信息泄漏漏洞Web站点的某些

36、测试页面可能会使用到PHP的phpinfo()函数，会输出服务器的关键信息。如下图所示：http 1/172. 27. 19肛 104/phplrJo. php小木人印猱PHP CreditsConf iur-at i onPHP CoreBur电 cti vLjOClL .itlTlfhjea2Lo,eill tiaa pb.es fftirQCeOnOnid 1 a_M l_!f ”鼻OftkAlll_i 41 ftOffOffjalw-BTa ppbJlu-p-ai(._-d .4.OffOffr罕 sc 严 * 屯i spus-l*.&A.臭玉卩-覽#oee.ffJiA fQJa脾De

37、gp t & pr-ftg-cn-J f 1bxivx：!hpuf E* aJ a#lf 甘丄口十d.a EvvlJLiL Jb.usa tncii? v rjaJ，h#dEKult_ ikbb bm/cross durTia-in. kfI-l| |IL9jgzb木人印加检测方法：访问domain/c ro ssdomain.xml修复方案：对于不需要外部加载资源的网站，crossdomain.xml中更改allow-access-from 的 domain 属性为域名白名单。修复大致样本参考如下（备注：示例中的app10000.qzoneapp., 请修改为自己指定的站点）：allow-access-from sec jre=Hfase4r domain=d小木人印鼠aJiow access-from secure=nfaise domain=allow-access-rrom securefaise domain=allow-access-from &ecure-false domain= a 11 ow-ac c ess-firom sec ire-fa Ise domain=* timg cn7* pengy-ou com7applOOOO qzone呂ppcomt，applOOOO imgcache.qzoneapp com7Across-domain-poltcy