struts|Web常见的漏洞描述与修复方案( 六 ) apache|删除|数据库|网络安全

2）如果你的web环境不需要asp.net的支持你可以进入Internet 信息服务(IIS)管理器 — Web 服务扩展 - ASP.NET 选择禁止此功能。
3）升级net framework 至4.0以上版本。
3.将web文件夹的内容拷贝到另一个位置，比如D:\\www到D:\\www.back ，然后删除原文件夹D:\\www ，再重命名D:\\www.back到D:\\www 。如果不重新复制，已经存在的短文件名则是不会消失的。
27.应用程序错误信息泄露漏洞描述
攻击者可通过特殊的攻击向量，使web服务器出现500、403等相关错误，导致信息泄漏如绝对路径、webserver版本、源代码、sql语句等敏感信息，恶意攻击者很有可能利用这些信息实施进一步的攻击。
修复建议
1、自定义错误页面或使用统一的错误页面提示。
28.Apache Tomcat默认文件漏洞描述
Apache Tomcat默认样例文件没有删除或限制访问，可能存在cookie、session伪造，进行后台登录操作
修复建议
1、删除样例文件
2、限制文件访问权限
29.Crossdomain.xml 配置不当漏洞描述
网站根目录下的 crossdomain.xml 文件指明了远程Flash 是否可以加载当前网站的资源（图片、网页内容、Flash等）。如果配置不当，可能导致遭受跨站请求伪造（CSRF）攻击。
修复建议
对于不需要从外部加载资源的网站，在 crossdomain.xml 文件中更改allow-access-from的domain属性为域名白名单。
30.目标服务器启用了不安全 HTTP 方法
漏洞描述
目标服务器启用了不安全的传输方法，如PUT、TRACE、DELETE、MOVE等，这些方法表示可能在服务器上使用了 WebDAV ，由于dav方法允许客户端操纵服务器上的文件，如上传、修改、删除相关文件等危险操作，如果没有合理配置dav ，有可能允许未授权的用户对其进行利用，修改服务器上的文件。
修复建议
1、关闭不安全的传输方法，只开启POST、GET方法。
2、如果服务器不使用 WebDAV 可直接禁用，或为允许webdav的目录配置严格的访问权限，如认证方法，认证需要的用户名，密码。
31.weblogic SSRF服务器请求伪造漏洞描述
目标存在weblogic SSRF服务器请求伪造漏洞。 WebLogic是用于开发、集成、部署和管理大型分布式Web应用、网络应用和数据库应用的Java应用服务器。 SSRF(Server-Side Request Forgery:服务器端请求伪造) 是一种由攻击者构造形成由服务端发起请求的一个安全漏洞。一般情况下， SSRF攻击的目标是从外网无法访问的内部系统。（正是因为它是由服务端发起的，所以它能够请求到与它相连而与外网隔离的内部系统）。 Weblogic中间件默认带有“UDDI 目录浏览器”且为未授权访问，通过该应用，可进行无回显的SSRF请求。攻击者可利用该漏洞对企业内网进行大规模扫描，了解内网结构，并可能结合内网漏洞直接获取服务器权限。
修复建议
1、若不影响业务则可删除uddiexplorer文件夹
2、限制uddiexplorer应用只能内网访问
32.Apache Struts2 远程代码执行漏洞（S2-019）漏洞描述
Apache Struts2的“Dynamic MethodInvocation”机制是默认开启的，仅提醒用户如果可能的情况下关闭此机制，如果未关闭此机制将导致远程代码执行漏洞，远程攻击者可利用此漏洞在受影响应用上下文中执行任意代码。
修复建议
1、目前厂商已经发布了升级补丁以修复这个安全问题，请到厂商的主页下载。
2、或者手工设置struts.xml文件<constantname=\"struts.enable.DynamicMethodInvocation\"value=https://mparticle.uc.cn/api/“false”/>
33.Apache Struts2 远程代码执行漏洞（S2-037）漏洞描述