网安支队安全检查以及对网站安全的处理过程
网站安全的技术处理部分,可看文章后半段;前半段是事件的起因和一些啰嗦的话语。
6 月 28 日,收到两江网安支队工作人员的通知,根据他们技术人员进行的检查,发现我的个人网站(www.imagecode.net)存在安全问题,要求对网站进行整改,然后发了我几份文档,要求我下载打印签字回传:
公安机关网络安全现场执法检查记录表
网络安全责任书
经过反复确认得知,因为我的个人网站和另外一家公司网站,使用了同一个账号,在“公安机关互联网站安全管理服务平台”(https://www.beian.gov.cn/ 此网站常年遭受攻击打开速度极慢)注册登记备案,因此是以公司网站的名义来通知我整改。
原本要求我使用公司盖章以公司的负责人名义来完成检查流程,在反复解释是个人网站与公司网站无关之后,才有了下面的文书:
整改通知书的被通知对象,依然是将公司名写在前面,后面括号里带上了我的个人网站名。然后又附上了一个“技术检测报告”文档
下面是重点,如何解决以上技术检测发现的问题,其实有些问题的影响并不大,但是网安的技术也算是负责,无论问题大小都给排查到位。
跨站脚本攻击
检查发现应用存在跨站脚本攻击问题,攻击者可以插入任意HTML或JS代码到网页中元素中,可能造成用户Cookie被盗、破坏页面结构、重定链接向到其它网站等问题
低版本的TLS/SSL
检查发现应用采用的SSL/TLS协议中发现了严重弱点,黑客能悄悄破译Web服务器和终端用户浏览器之间传输的加密数据,破解目标网站的Cookies,获得权限访问受限用户的帐号,同时也存在其他的安全问题。
脆弱的jQuery库
官方漏洞通告显示,应用使用jQuery库存在安全漏洞,可能会对网站的安全造成影响。
点击劫持
检查发现应用Http响应头中缺少X-Frame-Options参数,导致网站存在点击劫持可能,攻击者可通过创建一个网页利用iframe包含本网站,然后显示一些诱导性信息诱骗用户点击,但点击背后的真实操作可能是恶意的。
Cookie未设置Httponly
检查发现应用的用户身份Cookies未设置HttpOnly,攻击者可以结合其它漏洞获取用户的Cookie信息从而登录网站;如果获取到管理员的Cookie将会严重危害到此网站。
VIEWSTATE未加密
检查发现该网站的Viewstate参数未加密,这样可以使用相关工具直接查看Viewstate中的信息。
修复方法
其中,"跨站脚本攻击" 未修复原因:
本站不存在用户登录的逻辑,无交互逻辑,并且本站全站内容均为信息查询类,且已在后端做了数据判断与处理,因此跨站脚本攻击不会造成后端数据库的篡改。(不确定这种处理方式是否正确)
低版本的TLS/SSL
检查 SSL Labs 网址:https://www.ssllabs.com/ssltest/
IIS Crypto 工具网址:https://www.nartac.com/Products/IISCrypto/
TLS/SSL (Schannel SSP) 中的协议:https://learn.microsoft.com/zh-cn/windows/win32/secauthn/protocols-in-tls-ssl--schannel-ssp-
IIS Crypto 是一个免费工具,使管理员能够在 Windows Server 2008,2012,2016 和 2019 上启用或禁用协议,密码,哈希和密钥交换算法。
可以使用这个工具,将过时的 SSL 2.0/3.0 禁用,TLS 1.0/1.1 禁用,只保留 TLS 1.2,如下图所示:
特别注意:尽量使用最新版本的 IIS Crypto,因为我用了老版本后,导致服务器网站 IIS 无法访问,可能是老版本要在较老的服务器系统上才不会出问题。
脆弱的jQuery库
网安给的建议是,升级至 jQuery 3.5 以上版本。我直接替换到了 jquery-3.7.0.min.js 测试后发现没有什么兼容不良的问题,不过很多老版本升级到高版本后,会出现各种兼容不佳的问题。
点击劫持
在 IIS 里找到站点右边的 HTTP 相应标头,打开后增加:
名称:X-Frame-Options
值:SAMEORIGIN
或者直接在 web.config 里增加以下代码
Cookie未设置Httponly
可在 web.config 里增加以下代码
VIEWSTATE未加密
可在 web.config 里增加以下代码
关于 viewstate 和 machinekey 这部分的加密,尚未研究清楚,不确定按照以上方式是否修复严谨,可百度搜索“Machinekey设置相关”,查阅更详细的设置方法。
最后,再次回填了一个处置结果表,此事才算完结
欢迎扫码体验(另一个业务)
