網(wǎng)站漏洞整改報(bào)告_第1頁
網(wǎng)站漏洞整改報(bào)告_第2頁
網(wǎng)站漏洞整改報(bào)告_第3頁
網(wǎng)站漏洞整改報(bào)告_第4頁
網(wǎng)站漏洞整改報(bào)告_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

1、 網(wǎng)站漏洞整改報(bào)告 按照國(guó)家中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例、計(jì)算機(jī)信息網(wǎng) 絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法、互聯(lián)網(wǎng)安全保護(hù)技術(shù)措施規(guī)定等有關(guān)法律法 規(guī)規(guī)定,全面落實(shí)互聯(lián)網(wǎng)安全保護(hù)制度和安全保護(hù)技術(shù)措施, 對(duì)網(wǎng)站、信息安全 進(jìn)行了嚴(yán)格漏洞安全檢查工作。 本次網(wǎng)站安全檢查是完全站在攻擊者角度, 模擬黑客可能使用的攻擊技術(shù)和 漏洞發(fā)現(xiàn)技術(shù)進(jìn)行的安全性測(cè)試,通過結(jié)合多方面的攻擊技術(shù)進(jìn)行測(cè)試, 發(fā)現(xiàn)本 校個(gè)別網(wǎng)站系統(tǒng)存在比較明顯的可利用的安全漏洞, 針對(duì)已存在漏洞的系統(tǒng)需要 進(jìn)行重點(diǎn)加固。本次檢查結(jié)果和處理方案如下: www.nWPedu.c 高危漏洞0個(gè)頁面 嚴(yán)重漏洞0個(gè)頁面 警告漏洞0個(gè)頁面 輕

2、微漏洞0個(gè)頁面 同主機(jī)網(wǎng)站安全正常 虛假或欺詐網(wǎng)站正常 掛馬或惡意網(wǎng)站正常 惡意篡改正常 敏感內(nèi)容正常 安全狀況安全 som.|wpU-edu.c n 漏洞類型: SQL 注入/RPath 請(qǐng)求方式: POST 影響頁面: http:/som.|wpU|edu.c n/webDea nBoRActio n.do 處理方案: 通過在Web應(yīng)用程序中增加通用防注入程序來 防止SQL注入攻擊。通用SQL防注入程序通常 在數(shù)據(jù)庫連接文件中被引入,并在程序執(zhí)行過 程中對(duì)常見的GET POST Cookie等提交方式 進(jìn)行過濾處理,扌二截可能存在的SQL注入攻擊。 漏洞類型: jpkcnWBU-edu-c

3、 n :8O/jp2ORR/08 漏洞證據(jù): 影響頁面: 處理方案: RSS夸站腳本攻擊 alert(42873)v/script http:/jpkc.nwPMipdu.c n:80/jp20RR/ 08/flashshow. asp?title=%CA%FD%D7%D6%B5%E7%C2%B7% %EB%CA%FD%D7%D6%B5%E7%D7%D3%BC %CA%F5%BE%AB%C6%B7%BF%CE%B3%CC EA%B1%A8%CE%C4%BC%FE_%D0%BB%CB% D4%C6alert(42873)v/script 方案一:站在安全的角度看,必須過濾用戶輸 入的危險(xiǎn)數(shù)據(jù),默

4、認(rèn)用戶所有的輸入數(shù)據(jù)都是 不安全的,根據(jù)自身網(wǎng)站程序做代碼修改。 方案二:使用防護(hù)腳本。(附代碼) the ncallstophacker(req uest.querRstri ng,|R?F+/v(8|9)|b(a nd| or)b.+?(|v|=|bi nb|blikeb)|/R.+?R/|sRs criptb|bERECb|UNION.+?SELECT|UPDATE.+? 6D3 %BC %C9% 6C9% sRscjwpH.edu.c n 漏洞類型: SQL注入/RPath、RSS跨站腳本攻擊 請(qǐng)求方式: POST 影響頁面: http:/sR.c n/sbcRse

5、arch.asp 處理方案: 此網(wǎng)站已經(jīng)新做,新版正測(cè)試中,馬上投入使 用。 BLE|DATABASE) t ET|INSERTs+INTO.+?VALUES|(SELECT|DELETE).+ ?FROM|(CREATE|ALTER|DROP|TRUNCATE)s+(TA ifRequest.ServerVariables(HTTP_REFERER) hen calltest(Request.ServerVariables(HTTP_REF RER),|b(a nd|or)b.+?(|v|=|bi nb|blikeb) |八R.+?R/|vsRscriptb|bERECb|UNION.+?S

6、EL S|(S ECT|UPDATE.+?SET|INSERTs+INTO.+?VALUE OP| ELECT|DELETE).+?FROM|(CREATE|ALTER|DR TRUNCATE)s+(TABLE|DATABASE) ifrequest.Cookiesthe ncallstophacker(request. Cookies,b(a nd|or)b.1,6?(=|v|bi nb|blike b)|八R.+?R/|vsRscriptb|bERECb|UNION.+? SELECT|UPDATE.+?SET|INSERTs+INTO.+?VA |(SELECT|DELETE).+?FR

7、OM|(CREATE|ALTER|DRO LUES P|TRUNCATE)s+(TABLE|DATABASE) callstophacker(request.Form,A+/v(8|9)|b(a nd| sRscriptb|vsRimgb|bERECb|UNION.+?SELEC T|UPDATE.+?SET|INSERTs+INTO.+?VALUES|(SEL ECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TR dimregeR setregeR=n ewregeRp regeR.ig no recase=true regeR.global=true regeR

8、.patter n=re UNCATE)s+(TABLE|DATABASE) fun ctio ntest(values,re) ifregeR.test(values)the n D_FOR) IP=Request.ServerVariables(HTTP_R_FORWARDE lflP=The n IP=Request.ServerVariables(REMOTE_ADDR) en dif slog( 操作 IP:top:Op R;width:100%;height:100%;backgrou nd-color:whi te;color:gree n;fo nt-weight:bold;b

9、order-bottom:5 pRsolid#999;xbr的提交帶有不合法參數(shù),謝 謝合作!) Resp on se.e nd en dif setregeR=nothing endfunction fun ctio nstophacker(values,re) diml_get,l_get2,n_get,regeR,IP foreach n_geti nvalues foreachl_geti nvalues l_get2=values(l_get) setregeR=n ewregeRp regeR.ig no recase=true regeR.global=true regeR.pa

10、tter n=re ifregeR.test(l_get2)the n IP=Request.ServerVariables(HTTP_R_FORWAR D_FOR) IfIP=The n IP=Request.ServerVariables(REMOTE_ADDR) en dif slog( 操作 IP:top:Op R;width:100%;height:100%;backgrou nd-color:whi te;color:gree n;fo nt-weight:bold;border-bottom:5 pRsolid#999;xbr的提交帶有不合法參數(shù),謝 謝合作!v/div) Res

11、p on se.e nd en dif setregeR=nothing n eRt n eRt endfunction subslog(logs) dimtoppath,fs,Ts toppath=Server.Mappath(/log.htm) Setfs=CreateObject(scripti ng.filesRstemobject) lfNotFs.FILEERISTS(toppath)The n SetTs=fs.createteRtfile(toppath,True) Ts.close en dif SetTs=Fs.Ope nTeRtFile(toppath,8) Ts.wri

12、teli ne(logs) Ts.Close SetTs=no thi ng Setfs=no thi ng endsub % in .c n 漏洞類型: RSS跨站腳本攻擊 漏洞證據(jù): alert(42873)v/script 影響頁面: http:/i nfo.nwpU|:80/servlet/Redirect?li nkt o=/structure/wqfw-;alert(42873); 處理方案: 方案一:站在安全的角度看,必須過濾用戶輸 入的危險(xiǎn)數(shù)據(jù),默認(rèn)用戶所有的輸入數(shù)據(jù)都是 不安全的,根據(jù)自身網(wǎng)站程序做代碼修改。 方案二:使用防護(hù)腳本。 輸入資料過濾 ,”)

13、; message=message.replace(,); message=message.replace(”,”); message=message.replace(/,”); message=message.replace(%,”); message=message.replace(;,”); message=message.replace(,”); message=message.replace(),”); message=message.replace( out.pri nt(message); % .c n 漏洞類型: SQL注入漏洞(盲注) 漏洞證據(jù): Injectio nTRpe:Stri ngDatabaseTRpe:Access 影響頁面: http:/rei. nwpuipdu.c n/book/ow n_show_showim g.asp?own_id=122 處理方案: 1在網(wǎng)頁代碼中需要對(duì)用戶輸

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論