网站开放到互联网,不可避免受到白帽、黑帽、网络安全主管部门的扫描和检测,当检测到风险时,不可避免会接到主管部门的整改通知,对于很多中小企业用户,缺乏专职的信息安全人员,在收到此类通报时候如何积极应对,及时处理?
这里,我们从三个方面来给大家一个清晰、简单的参考。
我的网站为什么收到了漏洞通报?
我的网站被通报了漏洞,我能做些什么?
通报的网站漏洞有哪些,需要怎么处理?
1、网站为什么会收到漏洞通报
网站被通报,说明您的网站被扫描器或人工方式检测到存在已知的漏洞。如果不及时修复加固,可能会被黑客利用存在的漏洞读取敏感信息、上传后门文件,严重的可能导致发生网页篡改、信息泄露、病毒勒索等事件。
所以,在收到风险通报时,一定要及时响应,积极应对,认真处置。
2、网站被通报漏洞,怎么办
收到漏洞漏报,相当于医生告诉你:“你身体存在问题,需要注意。”
接下来我们需要进一步知道一些细节:我身体什么地方出了问题?如何验证?有多严重?
同样的,在收到通报时,我们首先需要明确被通报的是什么内容:是哪个网站被通报,通报的内容是什么。
要知道身体出了什么问题,需要让医生出具一个诊断报告;同样的,要知道网站出了什么问题,我们需要漏洞报告。
所以,第一件事:获取漏洞报告。
一般很多通报都会附带漏洞报告,如果没有附带的,及时和通报方确认如何获取漏洞细节,需要提供哪些证明材料。
获取到漏洞报告后,认真查阅里面列举的所有问题并验证。
3、常见通报漏洞有哪些?如何处理?
漏洞1:运用程序漏洞
OWASP Top10总结了web运用中10项最严重的运用程序风险。本文侧重于整个处理流程,故不对具体的漏洞和对应影响做详细阐述,我们在接下来的其他文章会为大家讲解不同漏洞的细节和可能造成的危害。
A1– 注入
A2–失效的身份认证
A3–敏感信息泄漏
A4– XML外部实体(XXE)
A5– 失效的访问控制 [合并]
A6– 安全配置错误
A7– 跨站脚本(XSS)
A8– 不安全的反序列化
A9–使用含有已知漏洞的组件
A10– 不足的日志记录和监控
针对站点,运用程序漏洞指您的网站程序的漏洞,检测到网站程序漏洞,需要找谁来修复呢?
这里可以分几种情况:
1.我的站点是第三方建站公司开发的,还能联系上对方。
这种情况很简单,既然您给了钱做开发和维护,现在对方开发程序出了问题,直接把相关的漏洞细节提供过去,请求协助整改。一般来说,对于技术实力还不错的公司,拿到您的漏洞详情,都能很快速的确认问题,并作出相应的修复。当然,需要修改代码,您得提前准备好必要的服务器远程信息或FTP信息,便于对文件修改和web进程的重启。
2.我的站点是第三方建站公司开发的,但是对方跑路了,已经无法联系。
遇到这种情况,实属无奈,不同的团队开发语言不同,代码水平也不通,另外再找人在此基础上做功能增加和漏洞修复,苦不堪言。这种情况如果条件允许,我建议您及时对网站改版,重做。条件不允许,但您又是蓝队云客户,那您可以提供相关的漏洞报告,我们为您做一些通用防护和针对性加固,例如严格控制目录执行权限、使用waf软件对漏洞拦截、修改隐藏敏感路径。
3.我的站点是公司研发团队开发的。
这种情况需要高度重视,研发团队开发的程序出了问题,一般涉及的不会只有一两个站点,您需要让研发团队认真查看漏洞细节并核查成因,第一时间对通报的网站做修复,并核查其他开发的站点是否也存在同样的问题,存在问题的迅速修复解决,避免其他站点在后期被通报或被黑客一锅端。
4.我的站点是自己从网上下载的程序。
网上下载的程序,比如aspcms、dedecms、phpcms、CmsEasy是比较常见、好用的内容管理系统,用户广,被挖掘的漏洞也比较多。这种情况,可以及时查看官网是否有程序更新,及时对使用的程序做更新,更新到最新版本。如果您很熟悉自己的网站需求,可以删除一些不必要的文件,比如dedecms的plus目录下search.php、download.php是漏洞出的最多的,您不需要下载、搜索功能,则可以考虑删除这几个文件。
如果官方程序也是年久失修或者您的条件只能试用当前版本,不允许升级,那很糟糕,这和第二种情况一样,不过不用担心,作为蓝队云客户,您可以和我们蓝队云运维工程师联系,告诉我们您的问题,蓝队云运维工程师都做过很多真实的修复、加固案例,我们会根据您程序特点、业务需求,给您一个适宜的整改方案。
漏洞2:操作系统服务类漏洞
除了网站程序的漏洞,漏洞通报还会涵盖操作系统、服务组件。
采用过时的操作系统,往往会被扫描到很多服务器组件,比如IIS远程命令执行漏洞、3389远程桌面远程命令执行漏洞。这种情况采用升级系统、安装补丁、屏蔽不必要的对外服务方式来做修复加固。
FTP弱口令、开放了不必要的数据库端口,使用默认远程端口都可能被扫描提示存在风险。
这一类操作系统、运用软件层面的,根据报告,对系统升级补丁、屏蔽对外端口、升级组件、加强密码复杂度、修改常规端口,都能顺利完成整改。
提示:整改过程中不要忘了及时用webshell扫描软件+人工检查方式核查存在风险的网站是否已经被入侵,对被入侵的站点,删除后门后再修复,并修改相关的账户信息。
以前遇到很多用户,的确做了修复,但是过了几天网站被黑了,一协助排查,原来早期的webshell后门就没有删除,一直安静躺在web目录下。这相当于您的的房子已经被人开了一个窗子,不把窗子堵住,一味的换锁、换门,连亡羊补牢的效果都达不到的。
在做整改过程中,一定不要忘了必要的记录留存,因为您整改完毕还有一个至关重要的内容:整改报告。
这里简单介绍一下整改报告的思路。
▼
1.发生了什么事
描述您站点被检测到了哪些问题,二次验证结果是什么样的(的确存在问题,还是误报,如果是误报,详细阐述理由)
2.我们如何处理了
验证存在的问题后,是怎么处理的,采用什么方式修复加固,提供必要的修复细节和记录截图。
3.处理后达标了吗,效果如何
修复后是如何验证问题被解决的,验证方式,验证截图。
4.后续保障
通过本次通报,意识到保障网站安全的必要性,对潜在的风险,做了哪些额外加固,后期如何监测和检查确保有效避免网站入侵、网页篡改、信息泄露等事件发生。
做完整改报告确认没有问题后,签名、盖章,按照通报要求及时将整改报告提交。
整体流程总结
发现问题—>获取问题详情—>根据报告内容做对应处置措施—>验证处置效果—>报告存档
我们的理想状态是网站稳定运行、不被检测到问题,不被通报。但是程序难免会存在已知和未知的bug和风险。遇到这类通报不要过分惊恐,及时处置即可。