网站安全漏洞处理总结

 工作中的网站安全漏洞处理总结。

 环境：Windows Server 2008 、IIS 、SQL Server

 

 一、短文件名泄露    

  验证是否存在此漏洞：

  cmd: dir/x

  是否出现“~”，如：招聘公~1.XLS 招聘公告.xlsx

 解决方法：

Windows Server 2008 R2
查询是否开启短文件名功能：fsutil 8dot3name query
关闭该功能：fsutil 8dot3name set 1

 

二、存在TLS1.0已启用 安全漏洞

   使用IISCrypto软件配置SSL和TLS

 

三、存在 单击劫持：X-Frame-Options头丢失

  iis https响应标头

 新增：X-Frame-Options SAMEORIGIN