关于某泵业网站出现的安全漏洞说明

admin

该问题收到时间为2023年6月26日下午17点27分，弘帝建站系统高度重视，认真审读并一一予以记录和核实如。
该次安全漏洞事故（暂且认为，因为弘帝还未做任何的检测）是由安徽省宣城市泾县网监局发给我司客户提出整改，弘帝建站系统作为CMS提供方，接受客户提出的整改通知书。
该次安全检测报告为“绿盟科技——远程安全评估系统”，我们此时此刻逐一实时整改测试并同步并记录如下：
一：站点风险等级（5.1）比较危险
我方尚未检测，不方便评价。

二：风险分类统计，挺多问题的，跨站脚本攻击（1中风险），16个低风险，一般低风险
我方对此表示质疑，跨站脚本攻击？就算弘帝建站系统允许跨站也不会造成攻击的！持保留意见！
低风险，我们一般忽略不予理会，因为没有万全的无风险建站系统，毕竟弘帝建站系统不是为受贿“绿盟科技”而开发的，有本事你就利用攻击呗！
我们也深知，那些安全公司不造出一些风险，他们怎么忽悠门外汉，还怎么赚钱呢？

三：WEB风险分布。
3.1.1，提出systhemes/js/jquery.js存在框架库漏洞
答：一派胡言，jquery.js是全球盛行的框架系统，别说弘帝在用，就是微软、谷歌，阿里，腾讯都在使用，这一风险让人无语。
对此危险分值显示6分，弘帝表示笑话，对此弘帝暂不予理会，继续往下。
3.1.2，提出的目标服务器存在应用程序错误，并给出以下网址：
1) ?mid=23
2) ?pid=23
3) ?aid=98
4) 类似上面的各种变化网址
答：a)作为动态网站，所列传递参数mid/pid/aid/包括其它更多的可能性参数，都属于正常传递参数，是不可避免的。
b)至于将23改为?mid="())]/@*$等变体传递参数，其是可以理解，这就是所谓SQL注入，弘帝建站系统在这块做了较深入的研究，是不会有注入现象发生的。
c)如果?mid="())]/@*$显示500 - 内部服务器错误。就视为目标服务器存在应用程序错误，这其实也是“绿盟安全”的一种吹毛求疵，当然列为低风险，我们可以认为是一种安全提示
d)鉴于以上问题，我觉得3.1.2是低风险，其实是无风险的，也没有必要对目标服务器的应用程序错误进行改善，对于企业入门级网站纯属多余的，因为正规访问是永远不会出现这种错误，只有黑客和别有用心的人，还有安全公司才能做这么一种无聊和与人无害，对己无利的事。
3.1.3，会话Cookie缺少HttpOnly属性，并给出了解决方案。
答：我们注意到“绿盟”提供的是首页不带任何参数的网址，也不是侵入后台入口的网址，我们觉得这个方案是多此一举的，完全没意义，所以不必理会。
而且技术是进步的，IE时代的各种漏洞产物，随着新版本的推出，早已不是漏洞，“绿盟”把IE漏洞提出来，我们只能说这是为了营销而设计的产品卖点吧，我们建议2023年后一定要使用Edge和Chrome等与时俱进的浏览器，当然并不是对IE使用者就是漏洞。
3.1.4，检测到目标X-Content-Type-Options响应头缺失。
答：首先，客户网站不是内网，也不是国家机密网站，所有信息是为了展示，不是为了隐藏和秘密传输，所以不存在安全信息泄密事件，这就决定了信息公开性，无需信息加密和安全保障。
我们了解了客户网站的信息安全等级之后，再谈保密的事。所以：X-Content-Type-Options: nosniff这个设计是多余的，完全没有必要，当然这也是一个低风险的，我们不必理会，国内外大多数网站也是没有这个开发要求的。
3.1.5，还是一个响应头缺失，不予理会。
HTTPX-XSS-Protection 响应头是Internet Explorer，Chrome和Safari的一个特性当检测到跨站脚本攻击(XSS)时，浏览器将停止加载页面。X-XSS-Protection响应头的缺失使得目标URL更易遭受跨站脚本攻击
将您的服务器配置为在所有传出请求上发送值为“1”(例如已启用)的“X-XSS-Protection”头。对于Apache，请参阅:http://httpd.apache.org/docs/2.2/mod/mod headers.html对于IIS，请参阅:https://technet.microsoft.com/pl ... 3%28v=ws.10%29.aspx对于nginx，请参阅:http://nginx.org/en/docs/http/ngx_http_headers_module.html
3.1.6，还是一个响应头缺失，不予理会。
HTTP响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况，设置的政策主要涉及指定服务器的源和脚本结束点Content-Security-Policy响应头的缺失使得目标URL更易遭受跨站脚本攻击
将您的服务器配置为发送“Content-Security-Policy”头。对于Apache，请参阅:http://httpd.apache.org/docs/2.2/mod/mod_headers.html对于IIS，请参阅:https://technet.microsoft.com/pl ... 3%28v=ws.10%29.aspx对于nginx，请参阅:http://nginx.org/en/docs/http/ngx_http_headers_module.html
3.1.7，检测到目标URL存在电子邮件地址模式答：“绿盟”提出邮件不得显示，而建议改成图片或者其它加密显示形式，让不怀好意者肆意网络搜罗邮箱进行骚扰性群发，这个想法是一半一半的，其实你禁止别人网罗邮箱，其实也在让客户使用不方便了，不可以一键发给你发邮件，损失了客户。
对于这个功能性提示，属于业务需求，而不属于安全属性，由客户来决定，而不是由“绿盟”检测来判别是否安全。
3.1.8，检测到目标web应用表单码类型输入启用了自动完成操作
答：这也是双向的，事实上，我们在登陆后时，更希望是秒登，免去登陆的麻烦，所以这个功能是双面的，你可以觉得是漏洞，但也可以说是为了方便网站管理员，弘帝建站系统则是更充分考虑到方便性，因为只要你的电脑是安全的，别人没有窃取到你的电脑，那么这个安全也就是零，每个人都要保护好自己的电脑安全性，是公司网络管理的第一工作。
如果客户需要，我们可以帮助客户设定这个功能，由客户自行决定此功能的启用与否，当然这也会增加客户的使用成本。
3.1.9，检测到目标服务器启用了OPTIONS方法
OPTIONS方法是用于请求获得由Request-URI标识的资源在请求/响应的通信过程中可以使用的功能选项。通过这个方法，客户端可以在采取具体资源请求之前，决定对该资源采取何种必要措施，或者了解服务器的性能。OPTIONS方法可能会暴露一些敏感信息这些信息将帮助攻击者准备更进一步的攻击，建议禁用web服务器上的options方法。
答：我注意这个低风险等级为1，任何禁止其实都是两面的，你禁止了别人，也禁止了自己，很多情况下，自己需要的东西，何必去禁？何况，服务器安全，又何惧你去攻击？难道为了怕不法分子，你连家门也不安锁吗？别人进不来，你也没锁可以打开门了。
3.1.10，检测到目标URL存在电话号码泄露。
答：这就是一个笑话，不是吗？你建企业网站，难道你的目的，不是让人找到你？诚然，有坏人利用你的电话干坏事，但你也拒绝了客户打你的电话呀！
所以，“绿盟”检测，看看就好，别当真，就是一个忽悠你买他的各种无厘头的笑话，以上10条，反正没有一条能让我信服，都是一秒回复，毫无加思索的回复，因为根本不是漏洞，只是毫无价值的一个个卖点。
3.1.11，检测到目标Referrer-Policy响应头缺失
答：Web 服务器对于HTTP 请求的响应头中缺少Referrer-Policy，这将导致浏览器提供的安全特性失效。当用户在浏览器上点击一个链接时，会产生一个HTTP 请求，用于获取新的页面内容，而在该请求的报头中，会包含一个 Referrer，用以指定该请求是从哪个页面跳转页来的，常被用于分析用户来源等信息。但是也成为了一个不安全的因素，所以就有了 Referrer-Policy，用于过滤 Referrer 报头内容，其可选的项有:noreferrelno-referrer-when-downgrade origin origin-when-cross-origin same-originstrict-origin strict-origin-when-cross-origin unsafe-url漏洞危害:Web 服务器对于HTTP请求的响应头中缺少Referrer-Policy，这将导致浏览器提供的安全特性失效更容易遭受Web前端黑客攻击的影响。
看看就好，别当真，Referrer有没有都没有太大关系，Referrer常用于网站统计，客户未购买此功能，可以额外购买，但也增加了没有必要的成本支出。
3.1.12，检测到目标X-Permitted-Cross-Domain-Policies响应头缺失
答：看看就好，安全低风险，系数为1，知道是个双刃剑，有利必有害，有害也必有利。Web 服务器对于HTTP请求的响应头中缺少X-Permitted-Cross-DomainPolicies这将导致浏览器提供的安全特性失效。当一些在线的 Web Flash 需要加载其他域的内容时，很多Web会通过设置一个 crossdomain.xml文件的方式来控制其跨域方式。很有可能有些开发者并没有修改crossdomainxml文件的权限，但是又有和跨域的Fash共享数据的需求，这时候可以通过设置 X-Permitted-Cross-Domain-Policies 头的方式来替代crossdomain.xml文件，其可选的值有:none master-onlyby-content-type by-ftp-filename all 漏危害:Web 服务器对于HTTP 请求的响应头中缺少X-Permitted-Cross-Domain-Policies，这将导致浏览器提供的安全特性失效，更容易遭受Web前端黑客攻击的影响
1)修改服务端程序，给HTTP 响应头加上X-Permitted-Cross-Domain-Policies 如果是java 服务端，可以使用如下方式添加 HTTP 响应头 response.setHeader(“X-Permitted-Cross-Domain-Policies”"value")如果是 php 服务端，可以使用如下方式添加HTTP 响应头header("X-Permitted-Cross-Domain-Policies: value)如果是asp 服务端，可以使用如下方式添加 HTTP 响应头 Response.AddHeader“X-Permitted-Cross-Domain-Policies”，"value"如果是 python django 服务端，可以使用如下方式添加 HTTP 响应头 response = HttpResponse0response["X-Permitted-Cross-Domain-Policies"]="value"如果是 python flask 服务端，可以使用如下方式添加 HTTP 响应头response =make_response0response.headers["X-Permitted-Cross-Domain-Policies"]="value”;2)修改负载均衡或反向代理服务器，给HTTP 响应头加上X-Permitted-Cross-Domain-Policies 如果使用 NginxTengine、Openresty 等作为代理服务器，在配置文件中写入如下内容即可添加 HTTP 响应头:add_headerX-Permitted-Cross-Domain-Policies value; 如果使用Apache 作为代理服务器，在配置文件中写入如下内容即可添加 HTTP 响应头:Header addX-Permitted-Cross-Domain-Policies"value"。
后面的还有一些低风险系数为1的风险提示，弘帝就不予一一理会了。
对于此份“绿盟”报告，弘帝一一做了响应，但目前看来，所谓评估风险并不存在危胁网站安全和信息安全，此客户网站完全不必做任何的整改，但我们也对此份“绿盟”报告提出一些风险系数为1的低风险开展研究，做到让客户可选，完善弘帝建站系统的商业价值。
如有任何需要网监咨询的，请让泾县网监直接联系我们对接。我们也曾经出具过几起安全整改报告，我们都是直接当地网警直接沟通，目前看来，暂无真正来自弘帝建站系统自身代码的安全风险发现。