阿里云运维 – 第6页 – 阿里云代理商_阿里云合作伙伴渠道活动

最常见Web漏洞释义

1、跨站攻击

漏洞描述

跨站脚本攻击（Cross-site scripting，简称XSS攻击），通常发生在客户端，可被用于进行隐私窃取、钓鱼欺骗、密码偷取、恶意代码传播等攻击行为。XSS攻击使用到的技术主要为HTML和Javascript脚本，也包括VBScript和ActionScript脚本等。

恶意攻击者将对客户端有危害的代码放到服务器上作为一个网页内容，用户不经意打开此网页时，这些恶意代码会注入到用户的浏览器中并执行，从而使用户受到攻击。一般而言，利用跨站脚本攻击，攻击者可窃取会话cookie，从而获得用户的隐私信息，甚至包括密码等敏感信息。

漏洞危害

XSS攻击对Web服务器本身虽无直接危害，但是它借助网站进行传播，对网站用户进行攻击，窃取网站用户账号信息等，从而也会对网站产生较严重的危害。XSS攻击可导致以下危害：
钓鱼欺骗：最典型的就是利用目标网站的反射型跨站脚本漏洞将目标网站重定向到钓鱼网站，或者通过注入钓鱼JavaScript脚本以监控目标网站的表单输入，甚至攻击者基于DHTML技术发起更高级的钓鱼攻击。
网站挂马：跨站时，攻击者利用Iframe标签嵌入隐藏的恶意网站，将被攻击者定向到恶意网站上、或弹出恶意网站窗口等方式，进行挂马攻击。
身份盗用：Cookie是用户对于特定网站的身份验证标志，XSS攻击可以盗取用户的cookie，从而利用该cookie盗取用户对该网站的操作权限。如果一个网站管理员用户的cookie被窃取，将会对网站引发巨大的危害。
盗取网站用户信息：当窃取到用户cookie从而获取到用户身份时，攻击者可以盗取到用户对网站的操作权限，从而查看用户隐私信息。
垃圾信息发送：在社交网站社区中，利用XSS漏洞借用被攻击者的身份发送大量的垃圾信息给特定的目标群。
劫持用户Web行为：一些高级的XSS攻击甚至可以劫持用户的Web行为，从而监视用户的浏览历史、发送与接收的数据等等。
XSS蠕虫：借助XSS蠕虫病毒还可以用来打广告、刷流量、挂马、恶作剧、破坏网上数据、实施DDoS攻击等。
2、CRLF攻击

漏洞描述

HTTP响应拆分漏洞，也叫CRLF注入攻击。CR、LF分别对应回车、换行字符。

HTTP头信息由很多被CRLF组合分离的行构成，每行的结构都是“键：值”。如果用户输入的值部分注入了CRLF字符，它有可能改变的HTTP报头结构。

漏洞危害

攻击者通过注入自定义HTTP头信息（例如，攻击者可以注入会话cookie或HTML代码），进行XSS攻击或会话固定漏洞攻击等。

3、SQL注入攻击

漏洞描述

SQL注入攻击（SQL Injection，简称注入攻击），被广泛用于非法获取网站控制权，是发生在应用程序的数据库层上的安全漏洞。

在设计不良的程序当中，忽略了对输入字符串中夹带的SQL指令进行检查，导致夹带的SQL指令被数据库误认为是正常的SQL指令而运行，从而使数据库受到攻击，导致数据被窃取、更改、或删除，甚至进一步导致网站被嵌入恶意代码、被植入后门程序等危害。

漏洞危害

SQL注入攻击可导致以下危害：
机密数据被窃取。
核心业务数据被篡改。
网页被篡改。
数据库所在的服务器被攻击变成傀儡主机，甚至企业网被入侵。
4、写入WebShell攻击

漏洞描述

写入WebShell攻击，是指攻击者正在往网站服务器写入网页木马程序，企图控制服务器的攻击。

漏洞危害

攻击者在用户网站上写入一个Web木马后门，进而操作用户网站上的文件、执行命令等等。

5、本地文件包含

漏洞描述

本地文件包含是指程序代码在处理包含文件的时候没有严格控制，攻击者可以把上传的静态文件、或网站日志文件作为代码执行。

漏洞危害

攻击者利用该漏洞，在服务器上执行命令，进而获取到服务器权限，造成网站被恶意删除、用户和交易数据被篡改等一系列恶性后果。

6、远程文件包含

漏洞描述

远程文件包含是指程序代码在处理包含文件的时候没有严格控制，导致攻击者可以构造参数包含远程代码在服务器上执行。

漏洞危害

攻击者利用该漏洞，在服务器上执行命令，进而获取到服务器权限，造成网站被恶意删除、用户和交易数据被篡改等一系列恶性后果。

7、远程代码执行

漏洞描述

远程代码执行，也叫代码注入，是指由于服务端代码漏洞导致恶意用户输入的代码在服务端被执行的一种高危安全漏洞。

8、漏洞危害

攻击者利用该漏洞，可以在服务器上执行拼装的代码。

9、FastCGI攻击

漏洞描述

FastCGI攻击是Nginx中存在一个较为严重的安全漏洞。FastCGI模块默认情况下可能导致服务器错误地将任何类型的文件以PHP的方式进行解析。

漏洞危害

恶意的攻击者可能攻陷支持PHP的Nginx服务器。

如果您的问题还未能解决，您可以联系阿里云代理商凯铧互联客服寻求帮助。阿里云代理商凯铧互联提供阿里云服务器/企业邮箱等产品的代购服务，同样的品质，更多贴心的服务，更实惠的价格。阿里云代理商凯铧互联会为您提供一对一专业全面的技术服务，同时还能为您提供阿里云其他产品购买的专属折扣优惠。通过凯铧互联购买可以获得折上折优惠！若您需要帮助可以直接联系我方客服，阿里云代理商凯铧互联专业技术团队为您提供全面便捷专业的7×24技术服务。电话专线：136-5130-9831，QQ:3398234753。
购买阿里云产品找阿里代理凯铧互联更实惠！

Crossdomain.xml 配置不当的解决办法

客户问题
Crossdomain.xml 配置好像有问题，老是有CSRF攻击
凯铧互联技术回复：
网站根目录下的 crossdomain.xml 文件指明了远程 Flash 是否可以加载当前网站的资源（图片、网页内容、Flash等）。如果配置不当，可能导致遭受跨站请求伪造（CSRF）攻击。
对于不需要从外部加载资源的网站，在 crossdomain.xml 文件中更改allow-access-from的domain属性为域名白名单。

挂马攻击及相关防御说明

1、什么是挂马攻击

挂马攻击具体是指，攻击者在已经获得控制权的网站的网页中嵌入恶意代码（一般通过 IFrame、Script 引用）。
当用户访问该网页时，嵌入的恶意代码利用浏览器本身的漏洞、第三方 ActiveX 漏洞，或者其它插件（如 Flash、PDF 插件等）漏洞，在用户不知情的情况下下载并执行恶意木马。
2、挂马攻击有什么危害

网站被挂马后，表示该站点已经被黑客成功入侵。黑客可以获取用户账号密码、业务数据等其他敏感数据，篡改网页等。
3、如何防御挂马攻击

使用阿里云云盾 “先知计划” 在业务代码上线前，进行代码安全测试、白盒代码审计等。
日常运维过程中，定期检测并修补网站本身以及网站所在服务端环境的各类漏洞，及时更新操作系统、应用服务软件补丁等。
使用阿里云云盾 Web 应用防火墙（WAF）进行安全防护。

如何避免阿里云服务器ECS实例部署的网站被挂马？

本文主要介绍如何避免阿里云服务器ECS实例中部署的网站被挂马。
重点注意以下这几个方面
1.配置阿里云服务器ECS的安全组策略，只开启80，443与22等必要使用的端口。
2.网站服务被挂马一般都是因为WeB程序的漏洞，比如跨站脚本漏洞，SQL注入漏洞。企业务必重视代码检查，如果使用第三方开源或商业程序，请经常升级补丁。
3.建议购买阿里云安骑士产品，使用漏洞检测服务器与服务的状态，针对性的解决问题。

本文适用于
如何避免阿里云服务器ECS实例部署的网站被挂马？

最后提一句：想优惠买阿里云服务器就找阿里云代理商凯铧互联

阿里云服务器出现”0x80070002系统找不到指定的文件”错误解决办法

客户提问：
阿里云服务器ECS Windows下基于IIS搭建的网站无法访问。操作系统日志中出现大量类似如下错误信息：“ 由于无法创建应用程序域，因此未能执行请求。系统找不到指定的文件”，如何处理？

阿里云技术回复：

这个问题原因基本上是因为通常是由于系统中多个版本的 .NetFramework 冲突所导致的。

可尝试通过如下方法解决该问题：

用Everything软件或系统自带搜索查找文件：aspnet_regiis.exe 。

找到对应的.NetFramework 2.0版本所在目录。

在cmd命令行下切换到上述目录。

执行： aspnet_regiis.exe -u 。

然后再执行： aspnet_regiis.exe -i 。

重启IIS再查看网站运行状态。

如何将数据同步到阿里云OSS？

用户希望其拥有的阿里云OSS上两个不同的Bucket之间能够自动、异步复制Object，源Bucket中的对象的改动（新建、覆盖、删除等）能够持续且自动地同步到目标Bucket。

主要方法

•阿里云OSS跨区域复制：在控制台中，对源Bucket进行跨区域复制配置，详情请参见设置跨区域复制。

•阿里云OSS API或SDK：使用OSS API或SDK编写代码实现，详情请参见Copy Object、Upload Part Copy。

场景1：跨区域同步

此场景是指源Bucket和目标Bucket分属不同的区域。

各方法的选择如下：

设置跨区域复制

•源Bucket是标准存储，目标Bucket是标准存储。

•源Bucket是标准存储，目标Bucket是低频存储。

•源Bucket是低频存储，目标Bucket是标准存储。

•源Bucket是低频存储，目标Bucket是低频存储。

说明：这些情况下，客户也可以使用OSS API/SDK编写代码，实现同步，但不推荐。

OSS API/SDK Copy Object、Upload Part Copy

•源Bucket是标准存储，目标Bucket是归档存储

•源Bucket是低频存储，目标Bucket是归档存储

•源Bucket是归档存储，目标Bucket是标准存储

•源Bucket是归档存储，目标Bucket是低频存储

•源Bucket是归档存储，目标Bucket是归档存储

说明：由于归档存储存在恢复时间，如果客户在应用中需要由归档存储向标准或低频存储间同步，建议采用更合理的架构，将源Bucket改为标准或低频存储，目标Bucket改为归档存储，节省成本，提高业务效果。

常见疑问

•是否可以指定Bucket下特定目录而非整个Bucket间进行同步？

可以。通过设置指定文件名前缀进行同步，控制只同步特定目录。

•归档存储是否可以使用跨区域复制功能？

当源Bucket或目标Bucket是归档存储时，不支持设置跨区域复制。用户可以使用OSS API/SDK 编写代码，以实现同步。

由于归档存储存在恢复时间，如果客户在应用中，需要由归档存储，向标准或低频存储间同步，建议采用更合理的架构，将源Bucket改为标准或低频存储，目标Bucket改为归档存储，节省成本，提高业务效果。

场景2：同区域同步

此场景是指源Bucket和目标Bucket属于同一的区域。

各方法的选择如下：

•OSS跨区域复制

不适用，OSS跨区域复制功能不支持同一区域的两个Bucket间数据同步。

•OSS API/SDK Copy Object、Upload Part Copy

同一区域的Bucket间数据同步，可通过使用OSS API/SDK编写代码实现。

本公司销售：阿里云、腾讯云、百度云、天翼云、金山大米云、金山企业云盘！可签订合同，开具发票。