看一下,这个问题怎么处理?
5月25日工作发现,你单位门户网站存在跨站脚本安全漏洞,须及时进行整改修复。
事件详情:
单位名称 敦煌市靓齿口腔用品中心
隐患IP 111.67.194.53
隐患URL https://www.zuiaijia.cn/index.php/shop/search/index.html?
https://www.zuiaijia.cn/index.php/bbs/search/index/tel:18089375572?
事件等级 高危
事件描述 跨站脚本
事件截图
修复建议 一般性建议:
过滤客户端提交的危险字符,客户端提交方式包含GET、POST、COOKIE、User-Agent、Referer、Accept-Language等。
开发语言的建议:
[1]严格控制输入:
Asp:request
Aspx:Request.QueryString、Form、Cookies、SeverVaiables等;
Php:$_GET、$_POST、$_COOKIE、$_SERVER、$_GlOBAL、$_REQUEST等;
Jsp:request.getParameter、request.getCookies 等;
客户端提交的变量一般从以上函数获得,严格限制提交的数据长度、类型、字符集。
[2]严格控制输出:
HtmlEncode:对一段指定的字符串应用HTML编码。
UrlEncode:对一段指定的字符串URL编码。
XmlEncode:将在XML中使用的输入字符串编码。
XmlAttributeEncode:将在XML属性中使用的输入字符串编码。
escape:函数可对字符串进行编码。
decodeURIComponent:返回统一资源标识符的一个已编码组件的非编码形式。
encodeURI:将文本字符串编码为一个有效的统一资源标识符 (URI)。
敦煌市公安局网络安全保卫大队
2024年5月25日
5月25日工作发现,你单位网站存在访问控制文件内容泄露安全隐患,.htaccess、.htpasswd、.htgroup,上述三个文件在使用过程中,可能产生副本文件或者权限设置不合理,攻击者读取上述文件的内容,以便进一步攻击目标站点,须及时进行整改修复。
事件详情:
单位名称 敦煌市靓齿口腔用品中心
隐患IP 111.67.194.53
隐患URL https://www.zuiaijia.cn//public/.htaccess
事件等级 中危
事件描述 访问控制文件内容泄露
事件截图
修复建议 一般性建议:
1、确保.htpasswd文件存放在Web目录下。
2、为.htaccess和.htgroup设置合理的权限。
敦煌市公安局网络安全保卫大队
2024年5月25日
看一下,这个问题怎么处理?