1. PHPSESSID已知会话确认攻击

   apache环境在根目录下建立.htaccess文件,设置

   <IfModule php5_module>

       php_value session.cookie_httponly true

   </IfModule>

   iis7及以上环境在根目录下建立web.config文件,设置

   <?xml version="1.0"?>

   <configuration>

   <system.web>

          <httpCookies httpOnlyCookies="true"   />

   </system.web>

   </configuration>

   
   

2. Flash配置不当漏洞

   修改根目录crossdomain.xml,将domain中的域名更换成自己的域名,多个域名可以写多行

   <?xml version="1.0"?>

       <cross-domain-policy>

           <allow-access-from domain="*.test1.com" />

           <allow-access-from domain="*.test2.com" />

       </cross-domain-policy>

   
   

   
   

3. 跨站脚本Xss漏洞/sql注入漏洞/代码执行漏洞

   asp程序
   

   1.下载http://www.eboat.cn/tools/waf.zip

   2.解压后,将文件放到公共文件（如数据库的连接文件）所在目录

   3.在公共文件页面中加入代码

   <!--#include file="waf.asp"-->
   

   php:   

   1.下载http://www.eboat.cn/tools‍/360webscan.zip

   2.解压后，整个文件夹放到网站根目录

   3.在网站的一个公用文件（如数据库的连接文件）中加入代码：

   if(is_file($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php')){

       require_once($_SERVER['DOCUMENT_ROOT'].'/360safe/360webscan.php');

   } // 注意文件路径

   常用PHP建站系统的公用页面
   

   PHPCMS ：      \phpcms\base.php

   PHPWIND：     \phpwind\conf\baseconfig.php

   DEDECMS：     \data\common.inc.php

   Discuz：           \config\config_global.php

   Wordpress：    \wp-config-sample.php

   ECshop：         \data\config.php

   Metinfo：         \include\head.php

   HDwiki：          \config.php

htaccess文件可读

1. 修改apache配置文件httpd.conf

   AccessFileName   .htaccess   

   
   

   发现PHPINFO信息泄露漏洞

   一般是网站目录下放置了phpinfo函数文件,删除phpinfo.php

   
   

   Tomcat示例文件未删除

   删除tomcat默认站点下的index.jsp

   
   

   Swfupload.swf跨站脚本攻击漏洞

   http://www.eboat.cn/tools‍/swfupload.swf.zip

   下载压缩包解压替换Swfupload.swf,替换前备份自己的文件

   以下是swfupload的源码文件，如果你自己有开发能力，也可以自己重新编译打包

   http://www.eboat.cn/tools‍/swfupload.swf.rar

   
   

   其他一些开源程序漏洞

   请联系程序官方更新升级补丁至最新版