按照處理的方式，Windows 系統的應急事件，可分為下面幾種類別：

1. 病毒、木馬、蠕蟲事件。

2. Web 服務器入侵事件或第三方服務入侵事件。

3. 系統入侵事件，如利用 Windows 的漏洞攻擊入侵系統、利用弱口令入侵、利用其他服務的漏洞入侵，跟 Web 入侵有所區別，Web 入侵需要對 Web 日志進行分析，系統入侵只能查看 Windows 的事件日志。

4. 網絡攻擊事件（DDoS、ARP、DNS 劫持等）。

• 周邊網絡

周邊網絡是位于非安全、不可信的外部網絡與安全、可信的內部網絡之間的一個附加網絡。周邊網絡與外部網絡、周邊網絡與內部網絡之間都是通過屏蔽路由器實現邏輯隔離的，因此外部用戶必須穿越兩道屏蔽路由器才能訪問內部網絡。

• 外部路由器

外部路由器的主要作用在于保護周邊網絡和內部網絡，是屏蔽子網體系結構的第一道屏障。在其上設置了對周邊網絡和內部網絡進行訪問的過濾規則，該規則主要針對外網用戶。例如限制外網用戶僅能訪問周邊網絡而不能訪問內部網絡，或者僅能訪問內部網絡中的部分主機。

• 內部路由器

內部路由器用于隔離周邊網絡和內部網絡，是屏蔽子網體系結構的第二道屏障。在其上設置了針對內部用戶的訪問過濾規劃，對內部用戶訪問周邊網絡和外部網絡進行限制。例如部分內部網絡用戶只能訪問周邊網絡哥不能訪問外部網絡等。

• 堡壘主機

在被屏蔽子網結構中，堡壘主機位于周邊網絡，可以內外部用戶提供www、FTP等服務，接受來自外部網絡用戶的服務資源訪問請求。同時堡壘主機也可以向內部網絡用戶提供DNS 、電子郵件、www代理、FTP代理等多種服務，提供內部網絡用戶訪問外部資源的接口。

TCP/IP協議棧指紋有以下探測方法：

• FIN標志位探測：按照RFC793的規定，主機上開放的端口對到達的FIN標志位設置為1的TCP數據包通常不響應。但是Windows、CISCO、HP/UX及IRIX等操作系統會返回一個RST標志位設置為1的TCP數據包。

• BOGUS標記探測：如果在SYN包的TCP頭部里設置一個未定義的TCP“標記”（64或128），并向遠程目標主機發送這個數據包，某些操作系統，如Linux 2.0.35以前的版本等返回的數據包中就會保持這個未定義的標記，而其他一些系統收到SYN+BOGUS包后將關閉連接，利用這些特性可以識別一些操作系統。

• TCP ISN取樣：ISN是初始化序號，即TCP通信的任何一方在TCP連接建立時發出的第一個TCP報文的序號字段。這種操作系統檢測方法需要收集目標操作系統的ISN信息，通常會向目標主機系統多次發送TCP連接請求，相應收集目標系統的連接響應并對其中的ISN信息進行分析。一些操作系統的ISN是隨機增長的，如Solaris、IRIX和FreeBSD等，還有一些操作系統的ISN與時間相關，每經過一段時間ISN的值會有一個固定的增長，也有操作系統的ISN是完全隨機變化的，如Linux 2.0以上的版本、OpenVMS和新版的AIX等。

• DF檢測：一些操作系統會在發送的數據包中設置IP頭部DF（Don’t Fragment）位來改善性能。在某些系統中，如Solaris等，可以通過監視這個位來進行識別。

• TCP初始化窗口大小：這種探測方法是對TCP連接建立時TCP包首部的窗口字段進行監視，因為很多操作系統的TCP初始化窗口的大小為常數。例如，Windows、FreeBSD及Open BSD系統的初始化窗口值為0x402E，AIX系統的初始化窗口值為0x3F25。

• ACK確認號的值：操作系統接收到一些特別設計的TCP數據包時，響應數據包中ACK確認號的值會表現出一定規律。如果發送FIN、PSH、URG標志位都被設置為1的TCP數據包到關閉的端口，一些操作系統會將ACK確認號設置為所接收到的TCP數據包的ISN值，而Windows會將ACK確認號設置為ISN值加1。

• TCP選項：TCP報文段首部結構中的選項域是可選的，并不是所有操作系統都支持。向目標主機發送包含選項信息的數據包，目標主機如果支持這些選項，將會在應答包中也進行相應的設置。如Nmap掃描軟件通常會在掃描數據包中同時設置多個選項，從而提高檢測的準確性。

• ICMP差錯報告報文統計：一些操作系統對ICMP差錯報告報文的發送頻率進行了限制。例如，Linux內核限制目的不可達報文每4s最多發送80個。通過某個隨意選定的高位端口發送UDP包，可以統計出在某個給定時間段內接收到的不可達出錯信息的數目，這樣就可以計算出目標主機ICMP出錯信息的發送頻率，從而識別出操作系統類型。例如，Linux內核限制（在net/ipv4/ic-mp.h中定義）不可達消息的生成頻率為20個/s。

• ICMP消息引用：RFC中規定ICMP錯誤消息通常會引用一部分引起錯誤的源消息。當需要發送ICMP出錯消息時，不同的操作系統引用源消息的信息量也各不相同。通過檢測所引用的消息，可以粗略識別操作系統的類型。例如，對一個端口不可達的消息，大多數的操作系統只會返回IP請求頭外加8B。然而，Solaris卻會多返回一位，而Linux則會多返回更多位。這使得即使在沒有開放端口的情況下，也可以區分Linux和Solaris操作系統。

• TOS服務類型：對于ICMP端口不可達消息，多數操作系統返回包的服務類型值是0，而有些操作系統（如Linux）的返回值卻是0xC0。

• SYN洪泛限度：如果收到過多的偽造SYN數據包，一些操作系統會停止新的連接嘗試。許多操作系統只能處理8個包。

• TCP協議可選項：TCP首部包含可選項部分。這些可選項主要用于通信雙方協商特殊的通信要求，增強了TCP協議通信的可靠性。

主動查詢式漏洞掃描模型具有以下功能：

• 檢測代理：檢測代理分布在評估網絡內的各個主機上，負責收集本機的系統特征信息，并將數據上傳到數據中心，供后面的評估分析使用。檢測代理可提供用戶賬號、口令、進程列表、軟件列表、補丁列表、操作系統類型等20多類主機信息，以構建主機的Profile。

• 系統配置：根據評估需要（日常定期評估、安裝新軟件、系統配置改變）設置評估目標。

• 漏洞評估控制：啟動分布式檢測代理，控制漏洞評估的進行。

• 結果顯示：當漏洞評估結束后，產生漏洞評估報告，顯示發現的漏洞列表及每個漏洞的相關字段信息。

• 統計分析：統計各個風險等級的漏洞總數及其所占百分比，評估系統整體的安全狀況。

• 數據庫管理：查看、添加、刪除數據庫記錄。

• 數據中心：數據中心負責存放所有的數據信息，包括漏洞數據庫、漏洞評估結果數據庫和系統配置信息庫。

防火墻技術主要包括以下三種：

• 包過濾技術：包過濾技術(IP Filtering or packet filtering) 的原理在于利用路由器監視并過濾網絡上流入流出的IP包，拒絕發送可疑的包。由于Internet 與Intranet 的連接多數都要使用路由器，所以Router成為內外通信的必經端口，Router的廠商在Router上加入IP 過濾 功能，過濾路由器也可以稱作包過濾路由器或篩選路由器（Packet FilterRouter）。防火墻常常就是這樣一個具備包過濾功能的簡單路由器，這種Firewall應該是足夠安全的，但前提是配置合理。然而一個包過濾規則是否完全嚴密及必要是很難判定的，因而在安全要求較高的場合，通常還配合使用其它的技術來加強安全性。

• 應用代理技術：應用代理(Application Proxy)技術是指在web服務器上或某一臺單獨主機上運行代理服務器軟件，對網絡上的信息進行監聽和檢測，并對訪問內網的數據進行過濾，從而起到隔斷內網與外網的直接通信的作用，保護內網不受破壞。在代理方式下，內部網絡的數據包不能直接進入外部網絡，內網用戶對外網的訪問變成代理對外網的訪問。同樣，外部網絡的數據也不能直接進入內網，而是要經過代理的處理之后才能到達內部網絡。所有通信都必須經應用層代理軟件轉發，應用層的協議會話過程必須符合代理的安全策略要求，因此在代理上就可以實現訪問控制、網絡地址轉換(NAT)等功能。

• 狀態檢測技術：狀態檢測技術是防火墻近幾年才應用的新技術。傳統的包過濾防火墻只是通過檢測IP包頭的相關信息來決定數據流的通過還是拒絕，而狀態檢測技術采用的是一種基于連接的狀態檢測機制，將屬于同一連接的所有包作為一個整體的數據流看待，構成連接狀態表，通過規則表與狀態表的共同配合，對表中的各個連接狀態因素加以識別。這里動態連接狀態表中的記錄可以是以前的通信信息，也可以是其他相關應用程序的信息，因此，與傳統包過濾防火墻的靜態過濾規則表相比，它具有更好的靈活性和安全性。

網絡攻擊根據位置有以下類型：

• 遠程攻擊：指外部攻擊者通過各種手段，從該子網以外的地方向該子網或者該子網內的系統發動攻擊。或者以外網服務器作為跳板對內網服務器進行攻擊，這種類型的網絡攻擊被稱之為遠程攻擊。

• 本地攻擊：指本單位的內部人員，通過所在的局域網，向本單位的其他系統發動攻擊，在本級上進行非法越權訪問。這種攻擊位置一般用來金安全測試而很少有攻擊者會進入單位或者企業內部進行攻擊，但這種類型攻擊被稱之為本地攻擊。

• 偽遠程攻擊：指內部人員為了掩蓋攻擊者的身份，從本地獲取目標的一些必要信息后，攻擊過程從外部遠程發起，造成外部入侵的現象。從本地獲取信息的途徑一般會模仿內部人員的工作流程或者申請內部人員賬號來進行獲取，獲取信息后會通過遠程連接內部賬號實現攻擊。

企業防御網絡攻擊方法有以下這些：

• 識別：識別并驗證組織的重要數據資產（VDA）。這是需要額外保護級別的數據，也是企業必須擁有的數據；

• 保護：提高恢復干凈數據幾率的能力。例如，可以避免網絡攻擊的故障安全副本；

• 檢測：識別控件中可能允許攻擊者訪問企業重要數據資產、增加企業風險的漏洞；

• 響應：在已發生的數據泄露事件之后需要遵循的計劃、流程和程序；

• 恢復：讓安全團隊為這種可能性做好排練、測試和實戰演習。

如果你的 Android 設備出現以下現象，就很可能已經感染了病毒：

• 數據流量使用量增加：通過手機服務提供商查詢每月數據流量的詳細情況。比較一下最近幾個月數據流量的使用情況，如果數據使用中某一個或幾個時刻突然出現波峰，那很可能手機已經感染病毒了。有些受感染的廣告軟件通常都會在后臺執行未經請求的點擊占用帶寬資源，為網絡犯罪分子創造利潤。

• 崩潰的應用程序：應用程序偶爾崩潰是正常的，但如果發現應用程序不斷崩潰多次，則可能是手機病毒。

• 電池消耗很快： 感染病毒不僅會對數據流量使用造成損害，還會影響到手機的電池壽命。有些病毒可能會偽裝在第三方應用程序和不可靠的下載中，一旦你將程序安裝到 Android 手機上，你會發現有時候你的手機電池消耗很快。如果你已經開始注意到電池壽命大幅度減少，即使空閑時手機也會升溫，那么很可能已經感染了病毒。

• 話費很高：如果您的電話費很高，您可能感染了電話病毒。這是對 Android 病毒的警告，因此請保持警惕。

• 突然彈出窗口：如果你手機上開始出現煩人的彈出式廣告和通知，不必要的提醒和嘮叨的 “系統” 警告，并且不會自動消失掉，那么你的手機可能已經感染了病毒。

• 手機過熱：手機過熱的原因有很多，但惡意軟件可能是原因之一。

SSL是安全套接層，及其繼任者傳輸層安全是為網絡通信提供安全及數據完整性的一種安全協議。TLS與SSL在傳輸層對網絡連接進行加密。安全傳輸層協議（TLS）用于在兩個通信應用程序之間提供保密性和數據完整性。SSL協議位于TCP/IP協議與各種應用層協議之間，為數據通訊提供安全支持。

通常代理服務器上使用以下協議：

• SMTP協議：SMTP是用來處理服務器之間的郵件傳遞的。它是一個存儲轉發的系統，如果配置不當，很可能會成為垃圾郵件的轉發站。更可怕的是，服務器還有可能遭到郵件攻擊，導致系統的癱瘓。所以說，加強STMP協議安全是個不可小覷的問題。從安全的角度考慮，應不允許外部的SMTP服務器直接與內部SMTP服務器連接，目前，通常采用數據包過濾來限制外部主機與內部主機不能直接建立SMTP連接。

• POP協議：POP是處理電子郵箱的客戶/服務器協議。存在的問題是，標準的POP客戶機和服務器以明文方式發送用戶口令，所以在網上竊聽的任何人都能捕獲到口令信息，并可以重新使用它，這樣代理服務器很容易受到入侵者的侵襲。要安全地提供POP服務，可以建立專門對外的POP代理服務器，限制外部用戶只能訪問專門對外的POP代理。

• WWW服務：這幾乎是網絡上應用最為廣泛的信息服務。由于Web服務器必須運行外部程序，如交互式腳本或CGI等，用于對Web服務器發布的內容作動態修改。這樣侵襲者有可能將他自己的外部程序裝載到服務器上并哄騙該服務器運行它。在使用Web代理服務器時，應將對外和對內的服務分開，通過代理服務器的設置以及數據包過濾的辦法來限制外部用戶可以訪問的資源，來提高內部網絡的安全性。

• Telnet協議：Telnet允許一個用戶遠程地執行另一個計算機上的命令外殼。由于Telnet發送的信息都是沒有加密的，很容易受到“嗅探”與“劫包”的侵襲。此外，被Telnet使用的命令外殼包含有系統管理的命令，一旦入侵者通過其他途徑獲得這些命令的使用權，就可以通過利用它們來破壞系統。

• SSH協議：SSH由IETF的網絡小組所制定；SSH為建立在應用層基礎上的安全協議。SSH是較可靠，專為遠程登錄會話和其他網絡服務提供安全性的協議。利用SSH協議可以有效防止遠程管理過程中的信息泄露問題。SSH最初是UNIX系統上的一個程序，后來又迅速擴展到其他操作平臺。SSH在正確使用時可彌補網絡中的漏洞。SSH客戶端適用于多種平臺。幾乎所有UNIX平臺—包括HP-UX、Linux、AIX、Solaris、DigitalUNIX、Irix，以及其他平臺，都可運行SSH。

漏洞掃描系統有以下品牌：

• AWVS：國外商業收費軟件，據了解一個License一年費用是2萬多RMB。可見總體漏洞掃描概況，也可導出報告，報告提供漏洞明細說明、漏洞利用方式、修復建議。缺點是限制了并行掃描的網站數。

• OWASP Zed（ZAP）：來自OWASP項目組織的開源免費工具，提供漏洞掃描、爬蟲、Fuzz功能，該工具已集成于Kali Linux系統。

• Nikto：一款開源軟件，不僅可用于掃描發現網頁文件漏洞，還支持檢查網頁服務器和CGI的安全問題。它支持指定特定類型漏洞的掃描、繞過IDC檢測等配置。該工具已集成于Kali Linux系統。

• BurpSuite：“Scanner”功能用于漏洞掃描，可設置掃描特定頁面，自動掃描結束，可查看當前頁面的漏洞總數和漏洞明細。雖說也有漏掃功能，但其核心功能不在于此，因此漏掃功能還是不如其他專業漏洞掃描工具。

• Nessus：面向個人免費、面向商業收費的形式，不僅掃描Web網站漏洞，同時還會發現Web服務器、服務器操作系統等漏洞。個人用戶只需在官網上注冊賬號即可獲得激活碼。它是一款Web網站形式的漏洞掃描工具。

mqtt 防御

1，請勿啟用匿名訪問，對服務端（BROKER）設置認證，增加用戶名密碼驗證。 2，根據實際情況，優先使用加密傳輸數據，防止中間人攻擊。 3，加密 payload 后在進行安全傳輸。 4，使用最新的服務端程序架設服務。 5，不要將實現的代碼上傳到 github 等代碼公開平臺。

web欺騙攻擊有以下危害：

• 網頁被篡改，導致惡意彈窗、域名被劫持、被搜索引擎處罰等：黑客對網站進行滲透注入，獲取管理員權限留下木馬后門，在網站頁面中留下暗鏈或者篡改網站頁面內容，植入黃賭毒廣告;發表反動言論，從而造成不良社會影響，損害企業品牌形象、企業及安全負責人被警方處罰。

• 數據庫被入侵，導致數據泄露、數據被篡改：黑客對網站進行未授權掃描，發現頁面業務接口的注入風險，構造惡意SQL注入請求，獲取到網站核心數據和用戶隱私數據，發生數據被倒賣、被篡改、被刪除等風險，引發公司信譽及業務危機，導致企業被行政處罰。

• CC攻擊，導致網站無法訪問或響應速度變慢，業務受損：網站遭遇競爭對手或黑客發起的大量惡意請求，長時間占用消耗服務器的核心資源，造成服務器性能瓶頸，如CPU、內存、帶寬，導致網站業務響應緩慢或是無法正常提供服務，從而給網站經營者帶來損失。

• 服務器被劫持，用于非法用途：黑客使用攻擊軟件控制大量有漏洞的服務器，用于對他人發起網絡攻擊等非法用途。一方面會導致網站經營方服務器性能下降，甚至失去服務器的控制權，另一方面可能會讓經營者卷入警方調查。

• 企業被勒索：黑客通過服務器劫持，CC攻擊等手段使得網站業務無法正常訪問，以此向企業進行勒索，最終給企業業務帶來經濟損失。

• 商品價格、網站數據被爬取：競爭者或者黑客使用自動化腳本或者利用爬蟲，會爬取網站上的一些交易價格、高價值數據、原創內容等等，造成惡意價格競爭、數據非法倒賣、網站流量轉移等危害。

防御web欺騙的方法有以下這些：

• 配置網絡瀏覽器使它總能顯示目的URL，并且習慣查看它。

• 檢查源代碼，如果發生了URL重定向，就一定會發現。不過，檢查用戶連接的每一個頁面的源代碼對普通用戶來說是不切實際的想法。

• 使用反網絡釣魚軟件。

• 禁用JavaScript、ActiveX或者任何其他在本地執行的腳本語言。

• 確保應用有效和能適當地跟蹤用戶。無論是使用cookie還是會話ID，都應該確保要盡可能的長和隨機。

• 培養用戶注意瀏覽器地址線上顯示的URL的好習慣。培養用戶的安全意識和對開發人員的安全教育。

寬字節注入發生的位置就是PHP發送請求到MYSQL時字符集使用character_set_client設置值進行了一次編碼。在使用PHP連接MySQL的時候，當設置“character_set_client = gbk”時會導致一個編碼轉換的問題，也就是我們熟悉的寬字節注入。

寬字節注入是利用mysql的一個特性，mysql在使用GBK編碼（GBK就是常說的寬字節之一，實際上只有兩字節）的時候，會認為兩個字符是一個漢字（前一個ascii碼要大于128，才到漢字的范圍）。

GBK首字節對應0×81-0xFE，尾字節對應0×40-0xFE（除0×7F），例如%df和%5C會結合；GB2312是被GBK兼容的，它的高位范圍是0xA1-0xF7，低位范圍是0xA1-0xFE(0x5C不在該范圍內)，因此不能使用編碼吃掉%5c。

常見轉義函數與配置：addslashes、mysql_real_escape_string、mysql_escape_string、php.ini中magic_quote_gpc的配置。

• 寬字節注入步驟

  第一步：order by排序

  第二步：union select 查詢庫名

  第三步：查詢表名

國內外的網絡安全法律法規的差異，主要體現在對網絡安全的理解認識和重視程度不同、出發點、側重點、網絡應用歷史及網絡安全的經歷與經驗的積累不同、法律法規及制度的全面及完善程度也不同。我國正式發布了《國家網絡空間安全戰略》，其中明確指出，全社會的網絡安全意識、基本防護技能和利用網絡的信心大幅提升是網絡強國戰略目標的重要一環,網絡欺詐等違法犯罪活動的辨識和抵御能力，是夯實網絡安全基礎的戰略任務。

傳統的數據安全存在的問題有以下這些：

• 數據的流動性使安全防護困難：數據正在成為組織中重要的生產資料，并且會在流動、交換的過程中創造新的價值。傳統的數據安全防護措施更多針對靜態的數據，無法滿足流動數據的保護需求。由于數據的流動性這一特點，要求數據無論到達哪里，都必須具有相同等級的風險應對能力，否則將因為短板效應而導致該防護體系失效。

• 傳統的方案面臨海量數據的巨大挑戰：與傳統數據庫和文件服務器的數據分類分級不同的是，數據治理面臨的第一個問題就是數據是海量的。在數字化時代，數據存儲與傳統數據庫和文件服務系統存儲不同的是，企業級大數據在來源、種類、格式、數量和敏感性上差別很大，使用的場景各有特點，安全要求各有不同。面對規模如此龐大的數據，已經很難采用傳統的技術手段或人工的方式完成大數據平臺的數據分級。

• 數據種類繁多，傳統方案難以開展數據分類分級：在數字化業務環境下，數據來源非常龐雜，數據種類至少包括內部業務系統數據、外部機構數據、互聯網數據等，這為數據的分類分級工作帶來了巨大挑戰。從各種渠道和來源收集上來的數據格式千差萬別，如何對這些不同格式的數據進行歸一化處理，不僅是數據分類分級工作的基礎，也是大數據平臺數據共享開放與分析挖掘的前提。

• 單一安全產品難以滿足復雜應用場景下的數據安全要求：傳統的數據安全機制通常是圍繞著辦公環境、小型數據中心開展的，數據資產規模小、種類少、結構單一，強調存儲加密、脫敏、審計，數據安全體系不完整，難以滿足大數據應用場景下的數據動態安全防護。

• 缺乏數據的識別與管控，難以開展有效的數據安全管理：企業積累了大量的生產、經營和企業管理數據，這些數據體量大、維度多，而且數據與數據之間的聯系有強有弱。傳統方案缺乏對敏感數據的識別能力。傳統地依靠人工參與并結合自動化技術來識別敏感數據的方式，已經完全無法滿足當前在時間和效果方面的需求。因此，只能通過新的大數據分析技術與人工智能手段來達到對海量數據的敏感性識別。

• 訪問控制力度不足，缺乏精細化數據訪問控制能力：在大數據場景下，數據從多個渠道大量匯聚，數據類型、用戶角色和應用需求更加多樣化，多源數據的大量匯聚增加了訪問控制策略制定及授權管理的難度，導致過度授權和授權不足現象嚴重。同時，傳統訪問控制方案中往往采用基于角色的訪問控制，缺乏基于屬性的訪問控制能力，且針對用戶的權限策略相對固定，無法根據主客體的風險情況動態調整訪問控制策略，導致無法為用戶準確指定其可以訪問的數據范圍，難以滿足最小授權原則。

防范針對口令的攻擊的措施有以下這些：

• 確保服務器密碼是唯一的，保證內網每一臺服務器的登錄密碼都是唯一的，不能讓不同服務器使用相同的登錄密碼，以防止一臺設備密碼丟失連帶多臺設備；

• 服務器管理員在設置密碼時不能設置為自己常用的密碼，并且不能將密碼記錄在自己的移動設備上；

• 使用長密碼請不要使用少于12個字符的內容，密碼越短，破解它們所需的時間和精力就越少；

• 使用組合不要只是輸入單詞或短語，利用完整的ASCII編碼來完善密碼口令；

• 經常更改密碼不要長時間使用同一個密碼，要經常修改但是不要規律性修改；

• 不用使用服務器默認口令，服務器默認口令都是弱密碼很容易就被破解，需要及時更改；

目錄遍歷是指在訪問儲存在web根目錄文件夾之外的文件和目錄。目錄遍歷漏洞的防御措施從以下三個方面考慮：

• 系統開發階段的防御

  在系統開發階段應充分考慮系統的安全性，對目錄遍歷漏洞來說，需對用戶提交的內容進行嚴格的過濾，這里主要指過濾目錄跳轉符，字符截斷符，dir命令等。

• 系統運行階段的防御

  系統運維人員需有強烈的安全意識，他們的一舉一動都會影響用戶的個人隱私信息安全。對系統運維人員來說，部署新的業務系統或者安裝新的軟件或應用后應通過web掃描工具積極查找系統是否存在目錄遍歷漏洞，盡可能不要在服務器上安裝與業務不相關的第三方軟件以避免引入目錄遍歷漏洞。除此之外，還應該合理配置web服務器（禁止目錄瀏覽，分配好目錄權限等）并積極關注所使用的各種軟件和應用的版本發布情況，及時升級新的軟件版本。

  不同web服務器禁止目錄瀏覽方法有所不同。對IIS而言，如果不需要可執行的CGI，可以刪除可執行虛擬目錄或直接關閉目錄瀏覽；如果確實需要可執行的虛擬目錄，建議將可執行的虛擬目錄單獨放在一個分區。

  對于Apache而言，管理員需要修改配置文件，禁止瀏覽列出目錄和文件列表，如可通過修改conf目錄下的httpd.conf文件來禁止使用目錄索引。以Apache 2.2.25版本為例，打開httpd.conf文件將“Options Indexes FollowSymLinks”中的“Indexes”刪除，這樣web目錄下的所有目錄都不再生成索引。

  為更好的保護系統安全，實際生產環境和測試開發環境應該隔離。在生產環境中的任何改動，都需要嚴格遵循變更管理流程，做到執行人、執行時間、執行對象和具體改動均記錄在案，并有企業信息安全部門進行事前審核和事后審計。技術人員一般不要直接調試生產系統，可以在測試環境中調試完成后再更新生產系統，以避免調試過程中開啟某些接口、更改某些配置或者保存某些調試信息造成安全隱患。如果非要在線調試生產系統，而且需要保存調試信息時，應避免將調試信息直接保存到服務器本地，同時調試完成后應第一時間刪除相關調試信息并恢復系統配置。

• 安全設備的防御

  進行目錄遍歷攻擊時，攻擊者基本都會使用目錄跳轉符，同時可能配合使用字符截斷符，dir命令等。對專業的安全設備來說通過檢測特定語法下的目錄跳轉符，字符截斷符，以及與查看目錄相關的命令即可識別各種目錄遍歷攻擊。部署專業的安全設備不僅可以很好的保護業務系統自身的目錄遍歷漏洞，同時還能防御web服務器和服務器上其他非業務相關的第三方應用漏洞引發的目錄遍歷攻擊。目前華三通信發布的SecPath IPS系列產品采用特有技術，能夠智能有效的識別各種編碼方式的目錄遍歷攻擊。