wordpress如何解决360网站安全检测提示Flash配置不当漏洞-Cookie没有HttpOnly标志-发现robots.txt文件-X-Frame-Options头未设置

今天无聊,刚好点了下360网站安全检测,结果发现以前100%安全,下降到了78%
360安全检测提示我的wordpress博客存在以下问题,把解决方法记录以下,以免忘记:

提示:存在”非法读取用户信息”风险,安全性降低20% [严重] Flash配置不当漏洞
解决方法:
我用的是centos系统,使用find命令找到以下文件

1
find / -name crossdomain.xml

vi编辑该文件
修改之前配置文件为

1
2
3
4
5
6
7
<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
        <site-control permitted-cross-domain-policies="all"/>
        <allow-access-from domain="*" secure="false"/>
        <allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>

修改之后为(注意下面配置文件中的xiaohost.com修改为你自己网站的域名):

1
2
3
4
5
6
7
<?xml version="1.0"?>
<!DOCTYPE cross-domain-policy SYSTEM "http://www.macromedia.com/xml/dtds/cross-domain-policy.dtd">
<cross-domain-policy>
        <site-control permitted-cross-domain-policies="all"/>
        <allow-access-from domain="xiaohost.com" secure="false"/>
        <allow-http-request-headers-from domain="*" headers="*"/>
</cross-domain-policy>

提示:存在”网站敏感信息泄露”风险,安全性降低5% [轻微] Cookie没有HttpOnly标志
解决方法:
我还是以我自己的centos服务器为例
修改php.ini配置文件
vi编辑器在非insert模式下输入/ 粘贴session.cookie_httponly 回车
找到以下内容

1
2
3
; Whether or not to add the httpOnly flag to the cookie, which makes it inaccessible to browser scripting languages such as JavaScript.
; http://www.php.net/manual/en/session.configuration.php#ini.session.cookie-httponly
session.cookie_httponly =

修改为

1
session.cookie_httponly =1

提示:存在”服务器配置信息泄露”风险,安全性降低5% [轻微] 发现robots.txt文件
解决方法:
这里以Nginx服务器为例

1
cd /usr/local/nginx/conf/vhost

修改你网站的conf配置文件,在以下位置
加入如下代码即可:

1
2
3
4
5
6
        #如果请求的是robots.txt,并且匹配到了蜘蛛,则返回403
        location = /robots.txt {
                if ($http_user_agent !~* "spider|bot|Python-urllib|pycurl") {
                return 403;
                }
        }

提示:存在”非法读取用户信息”风险,安全性降低5% [轻微] X-Frame-Options头未设置
解决方法:
什么是X-Frame-Options 响应头 请大家自行网上搜索
Apache服务器配置 Apache 在所有页面上发送 X-Frame-Options 响应头,需要把下面这行添加到 ‘site’ 的配置中:

1
Header always append X-Frame-Options SAMEORIGIN

Nginx服务器配置 nginx 发送 X-Frame-Options 响应头,把下面这行添加到网站的‘http’, ‘server’ 或者 ‘location’段配置文件中:

1
add_header X-Frame-Options SAMEORIGIN;

IIS服务器配置 IIS 发送 X-Frame-Options 响应头,添加下面的配置到 Web.config 文件中:

1
2
3
4
5
6
7
8
9
10
11
<system.webServer>
  ...

  <httpProtocol>
    <customHeaders>
      <add name="X-Frame-Options" value="SAMEORIGIN" />
    </customHeaders>
  </httpProtocol>

  ...
</system.webServer>

完成以上操作后,重启服务器软件即可
好了 360网站安全重新检测一下,又是100分,完美!

拓展阅读:常见Web漏洞

1\注入漏洞
SQL注入漏洞
XSS漏洞
HTTP响应头注入漏洞
跳转漏洞
XML注入漏洞

2\信息泄漏漏洞
phpinfo()信息泄漏漏洞
测试页面泄漏在外网漏洞
备份文件泄漏在外网漏洞
版本管理工具文件信息泄漏漏洞
管理后台泄漏漏洞
泄漏内部员工电子邮箱以及分机号码
错误详情泄漏漏洞
邮箱或者手机号撞库漏洞

3\请求伪造漏洞
CSRF漏洞

4\权限控制漏洞
文件上传漏洞
crossdomain.xml配置不当漏洞
flash标签配置不当漏洞
embed标签配置不当漏洞
Cookie安全性漏洞

5\其他攻击漏洞
构造Hash冲突
短信邮箱轰炸

原文链接:https://xiaohost.com/2469.html,转载请注明出处。
0

评论5

请先
  1. 您好:我的php网站提示 存在"网站敏感信息泄露"风险,安全性降低5% [轻微] Cookie没有HttpOnly标志,按照您的思路已经改了,可是没有任何用,360还是报这个提示。您有解决方案吗,麻烦回复我一下,公司着急处理这个问题,您看到了请给我发送邮件,谢谢了。
    张志刚 2018-08-09 0
    • 已经邮件回复你了
      站长 2018-08-10 0
    • 另外 处理了不能马上反映到搜索结果上 搜索引擎还有个缓存问题 过几天查看即可
      站长 2018-08-10 0
  2. 然而你的360账号raysykes还管理了4个其他网站,其中2个打不开,2个可以打开,那2个可以打开的好久没检测了,而且也本来就不是100分,你咋不去修复呢?
    匿名 2019-05-18 0