htaccess文件可讀

修改apache配置文件httpd.conf

AccessFileName  .htaccess  

發(fā)現(xiàn)PHPINFO信息泄露漏洞

一般是網(wǎng)站目錄下放置了phpinfo函數(shù)文件,刪除phpinfo.php

Tomcat示例文件未刪除

刪除tomcat默認(rèn)站點(diǎn)下的index.jsp

PHPSESSID已知會話確認(rèn)攻擊

apache環(huán)境在根目錄下建立.htaccess文件,設(shè)置

<IfModule php5_module>

    php_value session.cookie_httponly true

</IfModule>

iis7及以上環(huán)境在根目錄下建立web.config文件,設(shè)置

<?xml version="1.0"?>

<configuration>

<system.web>

       <httpCookies httpOnlyCookies="true"  />

</system.web>

</configuration>

 Flash配置不當(dāng)漏洞

修改根目錄crossdomain.xml,將domain中的域名更換成自己的域名,多個(gè)域名可以寫多行

<?xml version="1.0"?>

    <cross-domain-policy>

        <allow-access-from domain="*.test1.com" />

        <allow-access-from domain="*.test2.com" />

    </cross-domain-policy>

跨站腳本Xss漏洞/sql注入漏洞/代碼執(zhí)行漏洞

asp程序

1.下載http://downinfo.myhostadmin.net/vps/asp.zip 

2.解壓后,將文件放到公共文件（如數(shù)據(jù)庫的連接文件）所在目錄

3.在公共文件頁面中加入代碼

 <!--#include file="waf.asp"-->

php:  

1.下載http://downinfo.myhostadmin.net/vps/360webscan.zip

2.解壓后，整個(gè)文件夾放到網(wǎng)站根目錄

3.在網(wǎng)站的一個(gè)公用文件（如數(shù)據(jù)庫的連接文件）中加入代碼：

if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){

    require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');

} // 注意文件路徑

常用PHP建站系統(tǒng)的公用頁面

PHPCMS ：      \phpcms\base.php

PHPWIND：     \phpwind\conf\baseconfig.php

DEDECMS：     \data\common.inc.php

Discuz：           \config\config_global.php

Wordpress：    \wp-config-sample.php

ECshop：         \data\config.php

Metinfo：         \include\head.php

HDwiki：          \config.php

Swfupload.swf跨站腳本攻擊漏洞

http://downinfo.myhostadmin.net/vps/swfupload.swf.zip

下載壓縮包解壓替換Swfupload.swf,替換前備份自己的文件

以下是swfupload的源碼文件，如果你自己有開發(fā)能力，也可以自己重新編譯打包

http://downinfo.myhostadmin.net/vps/swfupload.swf.rar

其他一些開源程序漏洞

請聯(lián)系程序官方更新升級補(bǔ)丁至最新版