主机、web漏洞修复整理

原创 已于 2022-10-26 15:57:43 修改 · 9k 阅读 · 47 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#centos #运维

于 2022-10-26 15:49:37 首次发布
本文整理了系统安全扫描中主机和Web的漏洞及修复记录。主机漏洞包括ICMP timestamp请求响应、允许Traceroute探测等;Web漏洞有Host头攻击、不安全的Referrer Policy等。针对不同漏洞给出了详细描述、建议及修复方法,部分内网环境漏洞未做修复。

整理安扫漏洞及修复记录

维护系统项目验收前需要做安全扫描,检测主机、web等安全漏洞,现把发现的漏洞修复整理记录一下

主机漏洞

1. ICMP timestamp请求响应漏洞

描述:
远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。这可能允许攻击者攻击一些基于时间认证的协议。

修复:
在您的防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文。

sudo iptables -A INPUT -p ICMP --icmp-type timestamp-request -j DROP
sudo iptables -A INPUT -p ICMP --icmp-type timestamp-reply -j DROP
sudo iptables -A OUTPUT -p ICMP --icmp-type timestamp-reply -j DROP

2. 允许Traceroute探测

描述:
本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。

修复:
在防火墙出站规则中禁用echo-reply(type 0)、time-exceeded(type 11)、destination-unreachable(type 3)类型的ICMP包。

 sudo iptables -A INPUT -p ICMP --icmp-type time-exceeded -j DROP
 sudo iptables -A OUTPUT -p ICMP --icmp-type time-exceeded -j DROP

  sudo iptables -A INPUT -p ICMP --icmp-type echo-reply -j DROP
  sudo iptables -A OUTPUT -p ICMP --icmp-type echo-reply -j DROP

  sudo iptables -A INPUT -p ICMP --icmp-type destination-unreachable -j DROP
  sudo iptables -A OUTPUT -p ICMP --icmp-type destination-unreachable -j DROP

3. 远端WEB服务器上存在/robots.txt文件

描述:
一些WEB服务器通过设置/robots.txt使得一些搜索引擎或者索引工具更方便有效地工作。但/robots.txt中往往存在一些系统信息,可能使攻击者获得该系统的额外信息。

修复:
如果您的robots.txt中包含敏感信息,删除该文件。

#查找文件位置
find / -name robots.txt  
#以下是我自己系统文件所在的为主
/usr/share/cups/www/robots.txt 
/usr/share/nginx/html/robots.txt
#分别进入目录后删除文件:
cd /usr/share/cups/www/     
rm -rf robots.txt
cd /usr/share/nginx/html/
rm -rf robots.txt

4. SSH版本信息可被获取

描述:
SSH服务允许远程攻击者获得ssh的具体信息,如版本号等等。这可能为攻击者发动进一步攻击提供帮助。

修改:
修改源代码或者配置文件改变SSH服务的缺省banner。

#创建banner文件;如果有就不需要创建了
touch /etc/ssh/ssh_banner
#写入登陆时要显示的banner信息
echo "Wecome to use system" > /etc/ssh/ssh_banner
#编辑文件,添加banner文件路径
vim /etc/ssh/sshd_config
#找到 #Banner none在下面添加路径;
#Banner none
Banner /etc/ssh/ssh_banner
#重启ssh
systemctl restart sshd
<
最低0.47元/天 解锁文章
漏洞挖掘】——83、API接口安全问题刨析
Fly_鹏程万里
06-12 476
在HW期间的目标信息收集阶段,我们时而会遇到WSDL(Web Services Description Language)的XML格式文件,其定义了Web服务的接口、操作、消息格式和协议细节,在WSDL文件中很多时候都会指定服务的端口类型(Port Type)和绑定(Binding),绑定定义了如何使用 SOAP协议进行通信以及消息的格式和传输细节,而这很多时候会被对此不是很了解的红队队员会直接进行忽略,而部分对此有了解红队的会对接口进行Fuzzingc测试,试图找寻诸如命令执行、SQL诸如等漏洞,力争获取
允许Traceroute探测漏洞和ICMP timestamp请求响应漏洞解决方法(三)
冰恋云的专栏
07-06 3950
解决办法 在防火墙出站规则禁用echo-replytype 0)、time-exceededtype 11)、destination-unreachable(type 3)类型的ICMP包。详细描述 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。1、关闭Traceroute探测的方法。2、重新载入防火墙配置。
解决允许Traceroute探测:防火墙出站规则禁用echo-replytype 0)、time-exceededtype 11)、destination-unreachable(type 3)
郝开的博客
03-12 1572
解决允许Traceroute探测:在防火墙出站规则禁用echo-replytype 0)、time-exceededtype 11)、destination-unreachable(type 3)类型的ICMP包。
点击劫持防护:X-Frame-Options 配置与实践
2501_93352228的博客
09-12 583
通过配置该头部,可以有效防止点击劫持(Clickjacking)攻击,确保页面不会被恶意网站嵌套。X-Frame-Options 是一种 HTTP 响应头,用于控制网页是否允许被嵌入到。编辑 Apache 配置文件(如。
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞
2301_82056337的博客
05-08 1332
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。详细描述: SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
Windows下使用powershell修改防火墙
Garenliu的博客
06-26 3494
当时看到的这个时候,想着很简单,看我firewall-cmd大法,分分钟拿下,后来发现是Windows系统下,然后有了以下语句,注意,使用管理员打开powershell,powershell版本是。前两天,领导给了我一个漏扫报告,让我看着弄,其中上图这一条是花了一点时间的,做一个记录。,其余版本没有测试。
允许Traceroute探测漏洞解决方法
hryzxjh的博客
05-09 5727
解决办法 在防火墙出站规则禁用echo-replytype 0)、time-exceededtype 11)、destination-unreachable(type 3)类型的ICMP包。详细描述 本插件使用Traceroute探测来获取扫描器与远程主机之间的路由信息。攻击者也可以利用这些信息来了解目标网络的网络拓扑。允许Traceroute探测漏洞解决方法。1、关闭Traceroute探测的方法。2、重新载入防火墙配置。
Web中间件漏洞总结——IIS篇
2401_88858891的博客
11-20 1548
它扩展了HTTP 1.1,在GET、POST、HEAD等几个HTTP标准方法以外添加了一些新的方法,如PUT,使应用程序可对Web Server直接读写,并支持写文件锁定(Locking)及解锁(Unlock),还可以支持文件的版本控制。可以像在操作本地文件夹一样操作服务器上的文件夹,该扩展也存在缺陷,利用PUT方法可直接向服务器上传恶意文件,控制服务器。为了兼容16位MS-DOS程序,Windows为文件名较长的文件(和文件夹)生成了对应的windows 8.3 短文件名。
4、Web服务威胁、漏洞与应对措施解析
最新发布
game4的博客
10-08 16
本文深入解析了Web服务面临的主要威胁与漏洞,系统介绍了威胁建模的概念、流程及关键步骤。通过资产识别、安全目标定义、架构与安全配置文件构建,结合STRIDE威胁分类和攻击树、攻击模式等技术手段,全面识别并评估潜在安全风险。文章还详细阐述了针对各类漏洞的应对措施,包括开发阶段使用的代码分析器、渗透测试工具和漏洞扫描器等对策,并强调在Web应用生命周期中持续实施威胁建模的重要性,以提升整体安全性。
X-Frame-Options 报头缺失和未实施 HTTP 严格传输安全 (HSTS) 低危漏洞修复
cc123489ll的博客
05-31 570
点击劫持(用户界面矫正攻击、UI 矫正攻击、UI 矫正)是一种恶意技术,诱使 Web 用户点击与用户认为其单击的内容不同的内容,从而在单击看似无害的网页时有可能导致机密信息泄露或计算机被控制。服务器未返回 X-Frame-Options 报头,这意味着此网站存在遭受点击劫持攻击的风险。响应报头可被用于指示是否应允许浏览器在框架或 iframe 内呈现页面。站点可以通过确保其内容中未嵌入其他网站来避免点击劫持攻击。影响影响取决于受影响的 Web 应用程序。
linux低微漏洞处理集合
shufusheng的博客
03-03 3326
linux低微漏洞处理集合
【问题处理】常见Linux安全漏洞处理
Luxf0的博客
11-08 8551
本文介绍常见Linux安全漏洞及对应处理措施
Windows在防火墙禁用echo-replytype 0)、time-exceededtype 11)、destination-unreachable(type 3)类型的ICMP包
u012605034的博客
08-18 348
防火墙出站规则禁用echo-replytype 0)、time-exceededtype 11)、destination-unreachable(type 3)类型的ICMP包
在Linux防火墙上过滤外来的ICMP timestamp和禁止Traceroute探测
zhh763984017的博客
11-04 3万+
由于等保测评要求,最近需要协助加固Linux的云服务器,修复这两个漏洞,故查阅了相关资料,整理起来以便以后回看 环境:Centos6.9 ICMP timestamp 请求响应漏洞 解决方案: 在您的防火墙上过滤外来的ICMP timestamp(类型13)报文以及外出的ICMP timestamp回复报文。 具体解决方式就是禁用ICMP timestamp-request,编辑etc/sys...
1 Linux防火墙设置
qq_40907977的博客
11-09 3058
1、(ubuntu)从 iptables 过渡到 nftables 当前,有一个与 nftables 兼容的 iptables-nft 后端,但是很快,即使是它也不再提供了。另外,正如 Red Hat 开发人员所指出的那样,有时它可能会错误地转换规则。我们需要知道如何构建自己的 nftables,而不是依赖于 iptables 到 nftables 的转换器。 在 nftables 中,所有地址族都遵循一个规则。与 iptables 不同,nftables 在用户空间中运行,iptables 中的每个模块都
漏洞解决
tiki的博客
12-31 1万+
漏洞解决一、允许Traceroute探测1.Q:漏洞名称:允许Traceroute探测2.A:解决途径:二、ICMP timestamp请求响应漏洞1.Q:漏洞名称:ICMP timestamp请求响应漏洞2.A:解决途径:三、SSH版本信息可被获取1.Q:漏洞名称:SSH版本信息可被获取2.A:解决途径:四、远端WEB服务器上存在/robots.txt文件1.Q:漏洞名称:远端WEB服务器上存在/robots.txt文件2.A:解决途径:有待补充 一、允许Traceroute探测 1.Q:漏洞名称:允许T
ICMP timestamp请求响应漏洞处理(CVE-1999-0524)
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
02-24 5万+
一、漏洞描述 漏洞描述:远程主机响应ICMP时间戳请求。 时间戳回复是回复时间戳消息的ICMP消息。 它由时间戳的发送者发送的始发时间戳以及接收时间戳和发送时间戳组成。 这个信息理论上可以用来开发其他服务中基于时间的弱随机数发生器。 风险级别低。 二、加固处理 1)防火墙上过滤外来(INPUT)的ICMP timestamp(类型13)报文以及外出(OUTPUT)的ICMP timestamp回复报文 即在防火墙禁用ICMP timestamp-request;或在系统内置防火墙上编辑iptable规则
ICMP timestamp请求响应漏洞
qq_32054169的博客
05-16 2万+
漏洞描述 远程主机会回复ICMP_TIMESTAMP查询并返回它们系统的当前时间。 这可能允许攻击者攻击一些基于时间认证的协议。 解决方案 NSFOCUS建议您采取以下措施以降低威胁: * 在您的防火墙上过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文。 具体解决方式就是禁用ICMP timestamp-request,编辑etc/sy...
检测到错误页面web应用服务器版本信息泄露
lxyoucan的博客
07-14 3065
Web服务器未能正确处理异常请求导致Web服务器版本信息泄露,攻击者收集到服务器信息后可进行进一步针对性攻击。
系统漏洞扫描原理及应用解析
- 报告生成:将扫描结果整理成报告,详细描述发现的漏洞及建议的修复措施。 4. 漏洞扫描的技术类型 漏洞扫描技术主要包括以下几种: - 服务与端口扫描:通过扫描来识别目标系统上开放的服务和端口。 - 漏洞识别...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值