问:今天收到服务器上的http://www.bcxzyy.cn客户网站整改意见,我这边用常用软件没有检测出问题,请问服务器网站敏感信息泄露和权限许可、访问控制隐患要怎么修复?上次已经提交了这个问题了,你们那边说需要提供完整检测文件,现在我把检测文件发给你们,请尽快帮忙解
, 服务器网站敏感信息泄露和权限许可、访问控制隐患要怎么修复?
答:您好,1、查看到您提供的漏洞整改情况,仔细看了一下实际提供的这些低危漏洞都不算的漏洞, 公安局提供的都是非常细致的结果。 另外 对方实际都是提供了整改建议的,您可以根据对应的建议 调整服务器设置 。
2、目前针对您提供是这些截图漏洞来说, 您是PHP程序,此漏洞解决办法 可以取消.net执行权限 , 目前查看 已经是取消.net权限,请问之前是有设置404 或操作过 ?
3、 这个漏洞,可以直接禁止 目录直接访问,这些目录名称 实际也不需要直接访问,所以可以直接禁止。 不会影响程序访问 ; 在站点根目录下新建web.config 将规则放在文件中 ,红色的是目录名称,您可以根据整改要求实际填写。
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="301Redirect" stopProcessing="true">
<match url="(.*)" />
<conditions logicalGrouping="MatchAll">
<add input="{REQUEST_URI}" pattern="data|include|uploads|temlates" ignoreCase="true" />
</conditions>
<action type="AbortRequest"/>
</rule>
</rules>
</rewrite>
</system.webServer>
</configuration>
4、另外您可以在服务器内部安装一个 云锁软件 或安全狗 也可以避免短文件名 的漏洞
云锁 https://www.yunsuo.com.cn/
安全狗 http://www.safedog.cn/
其他的漏洞,您可以根据整改意见 自行处理 ,非常感谢您长期对我司的支持!
问:非常感谢,之前是有设置404访问权限的,另外本服务器上是安装了云锁软件的,谢谢您,给您好评
答:您好,不客气,您可以仔细看下 整改意见,里面针对相应的漏洞 会有相应的 整改建议 ,非常感谢您长期对我司的支持!
