Web風(fēng)險(xiǎn)評(píng)估報(bào)告

Web風(fēng)險(xiǎn)評(píng)估報(bào)告Web風(fēng)險(xiǎn)評(píng)估報(bào)告Web風(fēng)險(xiǎn)評(píng)估報(bào)告網(wǎng)站風(fēng)險(xiǎn)評(píng)估報(bào)告——《信息安全工程》報(bào)告課程名稱信息安全工程班級(jí)專業(yè)信息安全任課教師學(xué)號(hào)姓名目錄封面1目錄2一、評(píng)估準(zhǔn)備31、安全評(píng)估準(zhǔn)備32、安全評(píng)估范圍33、安全評(píng)估團(tuán)隊(duì)34、安全評(píng)估計(jì)劃3二、風(fēng)險(xiǎn)因素評(píng)估31．威脅解析3威脅分析概述3威脅分析來源4威脅種類42．安全評(píng)估7高危漏洞7中級(jí)漏洞7低級(jí)漏洞8三、綜述8擁有最多安全性問題的文件9風(fēng)險(xiǎn)分布統(tǒng)計(jì)9風(fēng)險(xiǎn)類別分布3.10滲透測(cè)試104.漏洞信息15四、風(fēng)險(xiǎn)評(píng)價(jià)18五、風(fēng)險(xiǎn)控制建議19附錄:22一、評(píng)估準(zhǔn)備1、安全評(píng)估目標(biāo)在項(xiàng)目評(píng)估階段，為了充分認(rèn)識(shí)SecurityTweets這個(gè)網(wǎng)站的安全系數(shù)，因此需要對(duì)SecurityTweets這個(gè)網(wǎng)站當(dāng)前的要點(diǎn)服務(wù)器和web應(yīng)用程序進(jìn)行一次抽樣掃描和安全缺點(diǎn)解析，對(duì)象為SecurityTweets全站，爾后依照安全缺點(diǎn)掃描解析報(bào)告，作為提升SecurityTweets系統(tǒng)整體安全的重要參照依照之一。2、安全評(píng)估范圍本小組將對(duì)以下系統(tǒng)進(jìn)行安全評(píng)估：采用linux系統(tǒng)的web服務(wù)器（IP地址：）采用nginx服務(wù)器程序的web站點(diǎn)采用MySQL的數(shù)據(jù)庫3、安全評(píng)估團(tuán)隊(duì)成員組成：組員姓名班級(jí)學(xué)號(hào)使用工具：1、AcunetixWebVulnerabilityScanner2、BurpSuite4、安全評(píng)估計(jì)劃1、此次針對(duì)網(wǎng)站的安全評(píng)估分為2個(gè)步驟進(jìn)行。第一步利用現(xiàn)有的優(yōu)秀安全評(píng)估軟件來模擬攻擊行為進(jìn)行自動(dòng)的探測(cè)安全隱患；第二步依照第一步得出的掃描結(jié)果進(jìn)行解析由小組成員親自進(jìn)行手動(dòng)檢測(cè)，消除誤報(bào)情況，查找掃描軟件無法找到的安全漏洞。2、第一步我們采用兩種不同樣的浸透測(cè)試軟件對(duì)網(wǎng)站做整體掃描。采用兩種工具是由于這兩個(gè)工具的重視點(diǎn)不同樣，能夠互為補(bǔ)充，使得解析更為精確。爾后生成測(cè)試報(bào)告。3、依照上一步生成的測(cè)試報(bào)告，由組員親自手動(dòng)考據(jù)報(bào)告的可信性。4、依照安全掃描程序和人工解析結(jié)果寫出此次安全評(píng)估的報(bào)告書。二、風(fēng)險(xiǎn)峻素評(píng)估威脅解析1.1.威脅解析歸納本次威脅解析是對(duì)一個(gè)德國的SecurityTweets網(wǎng)站進(jìn)行的。威脅解析包括的詳細(xì)內(nèi)容有：威脅主體、威脅路子、威脅種類。1.2.威脅本源SecurityTweets網(wǎng)站是基于Internet系統(tǒng)結(jié)構(gòu)建立，網(wǎng)絡(luò)業(yè)務(wù)系統(tǒng)多數(shù)采用TCP/IP作為主要的網(wǎng)絡(luò)通訊協(xié)議，其自己供應(yīng)了各樣各樣的接口以供使用和保護(hù)，可是，這些接口同樣可能向威脅主體提供了攻擊的路子：本源環(huán)境因素

描述斷電、靜電、灰塵、潤濕、溫度、鼠蟻蟲害、電磁攪亂、洪災(zāi)、火災(zāi)、地震、不測(cè)事故等環(huán)境危害或自然災(zāi)害，以及軟件、硬件、數(shù)據(jù)、通訊線路等方面的故障人為因惡意

不滿的或有預(yù)謀的內(nèi)部人員對(duì)信息系統(tǒng)進(jìn)行惡意損壞；采素人員

用自主或內(nèi)外勾通的方式盜竊機(jī)密信息或進(jìn)行篡改，獲取利益外面人員利用信息系統(tǒng)的纖弱性，對(duì)網(wǎng)絡(luò)或系統(tǒng)的保密性、完滿性和可用性進(jìn)行損壞，以獲取利益或炫耀能力非惡內(nèi)部人員由于缺乏責(zé)任心，也許由于不關(guān)心或不專注，或意人者沒有依照規(guī)章制度和操作流程而致使故障或信息損壞；員內(nèi)部人員由于缺乏培訓(xùn)、專業(yè)技術(shù)不足、不具備崗位技術(shù)要求而致使信息系統(tǒng)故障或被攻擊1.3.威脅種類：描述這個(gè)腳本是可能簡單碰到跨站點(diǎn)腳本（XSS）攻擊?？缯军c(diǎn)腳本（也被稱為XSS）是一種漏洞，贊同攻擊者發(fā)送惡意代碼（平常在Javascript中的形式）給其他用戶。由于閱讀器無法知道可否該腳本應(yīng)該是可信與否，它會(huì)在用戶上下文中，贊同攻擊者接見被閱讀器保留的任何Cookie或會(huì)話令牌執(zhí)行腳本。誠然傳統(tǒng)的跨站點(diǎn)腳本漏洞發(fā)生在服務(wù)器端的代碼，文檔對(duì)象模型的跨站點(diǎn)腳本是一各種類的漏洞會(huì)影響腳本代碼在客戶端的閱讀器。描述基于堆的緩沖區(qū)溢出在nginx1.3.15的SPDY執(zhí)行1.4.7和1.5.x版本1.5.12從前從前贊同遠(yuǎn)程攻擊者經(jīng)過特制的央求執(zhí)行任意代碼。該問題影響的ngx_http_spdy_module模塊（默認(rèn)情況下不編譯），并編譯nginx的-與調(diào)試配置選項(xiàng)，若是“聽”指令的“SPDY”選項(xiàng)用于在配置文件中。3．描述您使用的是纖弱的Javascript庫。一個(gè)或多個(gè)漏洞報(bào)告這個(gè)版本的JavaScript庫。咨詢攻擊細(xì)節(jié)和Web引用相關(guān)受影響的庫，并進(jìn)行了報(bào)道，該漏洞的詳細(xì)信息。描述XML支持被稱為“外面實(shí)體”，它指示XML辦理器來檢索和執(zhí)行內(nèi)嵌的設(shè)施包括XML位于特定URI的。一個(gè)外面XML實(shí)體能夠用來追加或更正與XML文檔相關(guān)系的文檔種類定義（DTD）。外面XML實(shí)體也能夠用于對(duì)XML文檔的內(nèi)容中包括的XML?，F(xiàn)在假設(shè)XML辦理器解析數(shù)據(jù)從下攻擊者控制的一個(gè)光源發(fā)出。大多數(shù)時(shí)候，辦理器將不會(huì)被確認(rèn)，但它可能包括代替文本從而惹起意想不到的文件打開操作，或HTTP傳輸，或任何系統(tǒng)IDS的XML辦理器知道如何接見。以下是將使用此功能包括當(dāng)?shù)匚募?etc/passwd文件）的內(nèi)容的示例XML文檔<？XML版本=“1.0”編碼=“UTF-8”？><！DOCTYPE的Acunetix[<！實(shí)體acunetixent系統(tǒng)“文件:///etc/passwd文件”>]><XXX>＆acunetixent;</XXX>描述此警報(bào)可能是假陽性，手動(dòng)確認(rèn)是必要的?？缯狙肭竽笤欤卜Q為一次單擊攻擊或會(huì)話騎馬和縮寫為

CSRF也許

XSRF，是一各種類的惡意攻擊網(wǎng)站即未經(jīng)授權(quán)的命令是從一個(gè)用戶，該網(wǎng)站相信傳達(dá)的。WVS的Acunetix找到一個(gè)HTML表單與推行沒有明顯的CSRF保護(hù)。詳細(xì)信息請(qǐng)咨詢相關(guān)受影響的HTML表單的信息。描述用戶憑據(jù)的傳達(dá)是在一個(gè)未加密的通道。這些信息應(yīng)該向來經(jīng)過加密通道（HTTPS），以防范被攔截惡意用戶轉(zhuǎn)移。描述點(diǎn)擊挾持（用戶界面拯救的攻擊，用戶界面拯救攻擊，用戶界面營救的權(quán)益）是誘騙網(wǎng)絡(luò)用戶點(diǎn)擊的東西從什么用戶會(huì)感覺到他們是點(diǎn)擊，從而有可能泄露機(jī)密資料，或利用其電腦同時(shí)控制不同樣的惡意技術(shù)點(diǎn)擊看似無害的網(wǎng)頁。該服務(wù)器沒有返回的X幀選項(xiàng)頭這意味著該網(wǎng)站可能是在點(diǎn)擊挾持攻擊的風(fēng)險(xiǎn)。X框，選擇HTTP響應(yīng)頭能夠被用于指示閱讀器可否應(yīng)該被贊同以表現(xiàn)頁面中的<frame>或<IFRAME>。網(wǎng)站能夠利用這一點(diǎn)防范點(diǎn)擊挾持攻擊，以保證其內(nèi)容不會(huì)嵌入到其他網(wǎng)站。描述一個(gè)常有的威脅Web開發(fā)人員面對(duì)的是一個(gè)密碼猜想攻擊被稱為蠻力攻擊。蠻力攻擊是試圖經(jīng)過系統(tǒng)地試一試字母，數(shù)字和符號(hào)的每個(gè)可能的組合，直到你發(fā)現(xiàn)工作一個(gè)正確的組合來發(fā)現(xiàn)密碼。這個(gè)登錄頁面沒有對(duì)密碼猜想攻擊（蠻力攻擊）的任何保護(hù)。它的建議，以實(shí)現(xiàn)一個(gè)定義不正確的密碼試一試次數(shù)后，某些種類的帳戶鎖定的。關(guān)于咨詢相關(guān)解決此問題的詳細(xì)信息的Web引用。描述HTTPOPTIONS方法在此Web伺服器已啟用。OPTIONS方法供應(yīng)了由web服務(wù)器所支持的方法列表，它代表約可在發(fā)現(xiàn)Request-URI的央求/響應(yīng)鏈中的通訊選項(xiàng)信息的央求。描述一個(gè)可能的敏感目錄已經(jīng)找到。這個(gè)目錄不是直接從website.This檢查一下常有的敏感資源，如備份目錄鏈接，數(shù)據(jù)庫轉(zhuǎn)儲(chǔ)，管理頁面，臨時(shí)目錄。這些目錄中的每一個(gè)能夠幫助攻擊者更多地認(rèn)識(shí)他的目標(biāo)。10．描述虛假主機(jī)是一臺(tái)服務(wù)器（或服務(wù)器池）上托管多個(gè)域名（每名獨(dú)立辦理）的方法。這贊同一個(gè)服務(wù)器共享它的資源，諸如儲(chǔ)藏器和辦理器周期，而無需供應(yīng)使用同樣的主機(jī)名的所有服務(wù)。這個(gè)Web服務(wù)器響應(yīng)不同樣，當(dāng)主機(jī)頭控制以及各樣常有的虛假主機(jī)進(jìn)行測(cè)試。這可能表示有一個(gè)虛假主機(jī)存在。描述此cookie不具備HTTPOnly標(biāo)志設(shè)置。當(dāng)一個(gè)cookie設(shè)置與HTTPOnly標(biāo)志，它指示該cookie只能由服務(wù)器而不是由客戶端腳本接見的閱讀器。這是一個(gè)會(huì)話cookie的一個(gè)重要的安全保護(hù)。描述當(dāng)一個(gè)新的名稱，并輸入密碼的形式和提交表單時(shí)，閱讀器會(huì)咨詢密碼應(yīng)該是saved.Thereafter顯示表單時(shí)，該名和密碼自動(dòng)填充或完成輸入名稱。與當(dāng)?shù)亟右姽粽吣軌驈拈喿x器緩存中獲取明文密碼。安全評(píng)估2.1.高危漏洞：1.影響惡意用戶可能注入的JavaScript，VBScript中，的ActiveX，HTML或Flash成為一個(gè)易受攻擊的應(yīng)用程序來欺騙用戶，以便從他們那處收集數(shù)據(jù)。攻擊者能夠偷取會(huì)話cookie并接收帳戶，冒充用戶。別的，也能夠更正表現(xiàn)給用戶的網(wǎng)頁的內(nèi)容。影響攻擊者能夠致使堆內(nèi)存緩沖區(qū)溢出的工作進(jìn)度經(jīng)過使用特制的央求，可能致使任意代碼執(zhí)行。影響攻擊能夠包括公開當(dāng)?shù)匚募?，其中可能包括敏感?shù)據(jù)，如密碼或用戶的個(gè)人數(shù)據(jù)，使用文件：系統(tǒng)鑒別計(jì)劃或相對(duì)路徑。由于攻擊發(fā)生相關(guān)于應(yīng)用程序辦理XML文檔，攻擊者可能會(huì)利用此受相信的應(yīng)用程序轉(zhuǎn)動(dòng)到其他內(nèi)部系統(tǒng)，有可能泄露經(jīng)過HTTP（S）央求其他內(nèi)部內(nèi)容。2.2.中級(jí)漏洞影響攻擊者可能會(huì)迫使一個(gè)Web應(yīng)用程序的用戶執(zhí)行攻擊者'的選擇的行動(dòng)。一個(gè)成功的CSRF攻擊會(huì)危及最后用戶的數(shù)據(jù)和操作的情況下，一般用戶的。若是最后的目標(biāo)用戶是管理員帳戶，這可能會(huì)危及整個(gè)Web應(yīng)用程序。影響第三方能夠經(jīng)過攔截一個(gè)未加密的HTTP連接來讀取用戶憑據(jù)。2.3.初級(jí)漏洞影響影響取決于受影響的Web應(yīng)用程序。影響攻擊者可能試圖經(jīng)過系統(tǒng)地試一試字母，數(shù)字和符號(hào)的每個(gè)可能的組合，直到發(fā)現(xiàn)工作的一個(gè)正確組合，以發(fā)現(xiàn)一個(gè)弱口令。影響OPTIONS方法可能裸露敏感信息能夠幫助一個(gè)惡意用戶編寫更先進(jìn)的攻擊。影響此目錄可能裸露敏感信息，能夠幫助惡意用戶準(zhǔn)備更高級(jí)的攻擊。影響可能的敏感信息泄露。三、綜述1.1擁有最多安全性問題的文件URL漏洞數(shù)

4231.2web風(fēng)險(xiǎn)分布統(tǒng)計(jì)Web風(fēng)險(xiǎn)種類分布分種類高風(fēng)險(xiǎn)中風(fēng)險(xiǎn)低風(fēng)險(xiǎn)總計(jì)跨站腳本攻擊3205信息泄露2057內(nèi)容欺騙1001系統(tǒng)命令執(zhí)行3003功能濫用1012資源地址可展望0202其他0011浸透測(cè)試輸入網(wǎng)址，爾后開始掃描正在掃描該網(wǎng)站掃描結(jié)束，共20個(gè)漏洞。點(diǎn)擊Report生成報(bào)告軟件自動(dòng)生成的掃描報(bào)告漏洞信息四、風(fēng)險(xiǎn)議論安全威脅是一種對(duì)系統(tǒng)、組織及其財(cái)富組成潛藏?fù)p壞能力的可能性因素也許事件。產(chǎn)生安全威脅的主要因素能夠分為人為因素和環(huán)境因素。人為因素包括有意的和沒心的因素。環(huán)境因素包括自然界的不能抗力因素和其他物理因素。威脅可能源于對(duì)web站點(diǎn)的直接或間接攻擊，比方非授權(quán)的泄露、篡改、刪除等，在機(jī)密性、完滿性或可用性等方面造成損害。威脅也可能源于偶發(fā)的或蓄意的事件。一般來說，威脅總是要利用web站點(diǎn)的系統(tǒng)、應(yīng)用或服務(wù)的缺點(diǎn)才可能成功造成損害。因此威脅解析是圍繞信息系統(tǒng)的可用性、保密性、完滿性、可控性、可審查性、可狡辯性進(jìn)行的。安全風(fēng)險(xiǎn)則是一種可能性，是指某個(gè)威脅利用缺點(diǎn)惹起某項(xiàng)信息財(cái)富或一組信息財(cái)富的損害，從而直接地或間接地惹起企業(yè)或機(jī)構(gòu)的損害的可能性。本次風(fēng)險(xiǎn)解析主要采用自頂向下和自底向上解析、定性解析與定量解析相結(jié)合的解析方法。第一自頂向下鑒別要點(diǎn)，爾后自底向上采用定性、定量相結(jié)合的方法進(jìn)行風(fēng)險(xiǎn)解析。形成一個(gè)分層次的樹形解析系統(tǒng)。在此次評(píng)估中，整系通通存在的威脅和其產(chǎn)生的安全風(fēng)險(xiǎn)主要有以下幾個(gè)方面：1、針對(duì)主機(jī)的攻擊威脅包括針對(duì)linux系統(tǒng)以及其使用的nginx等組件的安全漏洞的攻擊威脅，攻擊者可能由此獲取系統(tǒng)的信息資源或?qū)ο到y(tǒng)信息進(jìn)行損壞。2、針對(duì)數(shù)據(jù)庫的攻擊威脅包括在對(duì)數(shù)據(jù)庫系統(tǒng)的攻擊行為，包括非法獲取、篡改、刪除數(shù)據(jù)庫信息資源和進(jìn)行其他形式的服務(wù)攻擊。3、管理不當(dāng)所惹起的威脅包括由于用戶管理策略不當(dāng)使得攻擊者可能獲取某一級(jí)其他用戶的接見權(quán)限，并由此提升用戶權(quán)限，造成用戶權(quán)限的濫用和信息資源的泄露、損毀等；由于采用遠(yuǎn)程管理而惹起的威脅；缺乏足夠的安全審計(jì)致使對(duì)安全事件不敏感，無法發(fā)現(xiàn)攻擊行為等。4、配置不當(dāng)所惹起的威脅包括在主機(jī)上開放了未做安全防范的服務(wù)所造成的威脅。5、程序邏輯漏洞造成的威脅包括編碼時(shí)由于對(duì)用戶輸入辦理考慮不完滿以及代碼自己的bug被利用所造成的威脅。在現(xiàn)場(chǎng)核查測(cè)試結(jié)束后，我們將對(duì)獲取的纖弱性、威脅數(shù)據(jù)進(jìn)行風(fēng)險(xiǎn)解析。我們認(rèn)為在復(fù)雜的系統(tǒng)風(fēng)險(xiǎn)評(píng)估過程中，不能夠?qū)⒍ㄐ越馕龊投拷馕鰞煞N方法簡單的割裂開來。而是應(yīng)該將這兩種方法交融起來，采用綜合的評(píng)估方法。在信息系統(tǒng)風(fēng)險(xiǎn)解析過程中，定性解析是靈魂，是形成見解、見解，作出判斷，得出結(jié)論所必定依靠的。定量解析則是手段，是定性解析的基礎(chǔ)和前提，定性解析應(yīng)建立在定量解析的基礎(chǔ)上才能揭穿客觀事物的內(nèi)在規(guī)律。是為作出判斷和得出結(jié)論。關(guān)于所鑒別出的各樣安全風(fēng)險(xiǎn)，辦理方式有四種，即預(yù)防、防范、降低、轉(zhuǎn)移和接受，但關(guān)于整個(gè)系統(tǒng)而言，風(fēng)險(xiǎn)不能能完滿被消滅。在風(fēng)險(xiǎn)鑒別后，應(yīng)依照風(fēng)險(xiǎn)程度的輕重緩急和自己的經(jīng)濟(jì)實(shí)力及安全需求，綜合考慮法律法規(guī)的要求、機(jī)構(gòu)自己的發(fā)展需要、風(fēng)險(xiǎn)評(píng)估的結(jié)果等眾多因素，推行辦理風(fēng)險(xiǎn)的各樣措施。對(duì)不能接受的風(fēng)險(xiǎn)選擇合適的辦理方式及控制措施，并形成風(fēng)險(xiǎn)辦理計(jì)劃?？刂拼胧┑倪x擇應(yīng)兼顧管理與技術(shù)，并特別關(guān)注成本與風(fēng)險(xiǎn)的平衡。五、風(fēng)險(xiǎn)控制建議安全這個(gè)話題是多層次的，一個(gè)網(wǎng)站要安全必定滿足物理安全、鏈路安全、網(wǎng)絡(luò)級(jí)安全、應(yīng)用安全和用戶安全這5個(gè)層次。大多數(shù)網(wǎng)站沒有完滿的采用防范措施，因此，建立一套有效的網(wǎng)絡(luò)安全體系就顯得特別重要，以下是必定考慮的安全防范要點(diǎn)：1、部署防火墻在互聯(lián)網(wǎng)與服務(wù)器之間部署硬件防火墻，這樣，經(jīng)過互聯(lián)網(wǎng)進(jìn)來的用戶只能接見到對(duì)外公開的一些服務(wù)（如WWW、E-mail、FTP、DNS等），既保護(hù)內(nèi)網(wǎng)資源不被非法接見或損壞，也阻攔了內(nèi)部用戶對(duì)外面不良資源的使用，并能夠?qū)Πl(fā)生的安全事件進(jìn)行追蹤和審計(jì)。在網(wǎng)站的服務(wù)器上安裝軟件防火墻后還要進(jìn)一步設(shè)置接見策略。2、漏洞及補(bǔ)丁管理Web服務(wù)器是一個(gè)由多協(xié)議、多應(yīng)用、多用戶組成的網(wǎng)絡(luò)環(huán)境，網(wǎng)絡(luò)設(shè)施、操作系通通、數(shù)據(jù)庫、應(yīng)用軟件都存在難以防范的安全漏洞。為了要保障網(wǎng)站的安全,必定做好漏洞管理。3、入侵檢測(cè)工作作為服務(wù)器的平常管理，入侵檢測(cè)是一項(xiàng)特別重要的工作，在平常的檢測(cè)程序中，主要包括平常的服務(wù)器安全例行檢查和碰到入侵時(shí)的入侵檢查，也就是分為在入侵進(jìn)行時(shí)的安全檢查和在入侵前后的安全檢查。系統(tǒng)的安全性依照木桶原理，木桶原理指的是：一個(gè)木桶由好多塊木板組成，若是組成木桶的這些木板長短不一，那么這個(gè)木桶的最大容量不取決于長的木板，而取決于最短的那塊木板。應(yīng)用到安全方面也就是說系統(tǒng)的安全性取決于系統(tǒng)中最纖弱的地方，這些地方是平常的安全檢測(cè)的要點(diǎn)所在。4、數(shù)據(jù)備份和恢復(fù)數(shù)據(jù)是整個(gè)網(wǎng)絡(luò)的核心。數(shù)據(jù)一旦被損壞或扔掉，關(guān)于Web服務(wù)器，嚴(yán)重影響網(wǎng)站的形象，影響到web服務(wù)的正常進(jìn)行。因此做一套完滿的數(shù)據(jù)備份和恢復(fù)體系能夠在服務(wù)器發(fā)生故障時(shí)將損失降低到最小。5、安裝反病毒軟件病毒、木馬、蠕蟲等惡意代碼是網(wǎng)站的主要安全隱患，必定做到有效控制?，F(xiàn)在的反病毒件查殺面也特別廣，在網(wǎng)站服務(wù)器上安裝反病毒軟件能從郵件、FTP文件、網(wǎng)頁、軟盤、光盤等所有可能的信息源進(jìn)行監(jiān)控和安全攔截。安裝完后要及時(shí)升級(jí)，這樣殺毒軟件查殺能力能夠覆蓋最新的惡意代碼。6、網(wǎng)站的密碼安全。關(guān)于密碼設(shè)置，我們能夠從CSDN事件中看到，很大一部分人采用的甚至數(shù)字密碼，這類密碼很容易被破解。特別是管理員密碼，我們需要學(xué)習(xí)下外國網(wǎng)站的設(shè)置，采用大小寫字母加數(shù)字，甚至特別字符夾雜在里面作為密碼。7、網(wǎng)站保護(hù)管理的頻率。我們網(wǎng)站也需要和人同樣做如期檢查體檢，檢查文件的日志，一般我們網(wǎng)站文件都有時(shí)間日志的，被更正后時(shí)間日志會(huì)更新。我們需要查察文件被更正的時(shí)間。即便我們網(wǎng)站能夠正常接見，也需要查察文件可否是被掛黑鏈接，由于黑鏈接產(chǎn)品也十分?囂張?；谧约旱木W(wǎng)站安全和權(quán)重考慮，也是需要進(jìn)行安全體檢的。8、檢查站點(diǎn)程序可否存在漏洞站點(diǎn)程序的完滿性能夠保證網(wǎng)站在發(fā)展的過程中有一個(gè)完滿的發(fā)展過程，選擇技術(shù)和組建的時(shí)候必然要注意裁汰與抉擇，不要拿自己的網(wǎng)站去測(cè)試程序的利與弊。附錄：Scanof:80/ScandetailsScaninformationStarttime2014/6/2914:30:59FinishtimeThescanwasabortedScantime8minutes,10secondsProfileDefaultServerinformationResponsiveTrueServerbannerServerOSUnknownServertechnologiesThreatlevelAcunetixThreatLevel3Oneormorehigh-severitytypevulnerabilitiesmalicioususercanexploitthesevulnerabilitiesand/ordefaceyourwebsite.

havebeendiscoveredbythescanner.AandcompromisethebackenddatabaseAlertsdistributionTotalalertsfound20High10Medium2Low7Information1alAlertssummaryCrosssitescripting(verified)ClassificationCVSSAccessVector:NetworkAccessComplexity:MediumAuthentication:NoneConfidentialityImpact:NoneIntegrityImpact:PartialAvailabilityImpact:NoneCWECWE-79Affecteditems/AcunetixWebsiteAudit

Variatio1ns2DOM-basedcrosssitescriptingClassificationCVSSAccessVector:NetworkAccessComplexity:MediumAuthentication:NoneConfidentialityImpact:NoneIntegrityImpact:PartialAvailabilityImpact:NoneCWECWE-79Affecteditems/nginxSPDYheapbufferoverflowClassificationCVSSAccessVector:NetworkAccessComplexity:HighAuthentication:NoneConfidentialityImpact:PartialIntegrityImpact:PartialAvailabilityImpact:PartialCWECWE-122CVECVE-2014-0133AffecteditemsWebServerVulnerableJavascriptlibraryClassificationCVSSAccessVector:NetworkAccessComplexity:LowAuthentication:NoneConfidentialityImpact:PartialIntegrityImpact:PartialAvailabilityImpact:NoneCWECWE-16AffecteditemsXMLexternalentityinjectionClassificationCVSSAccessVector:NetworkAccessComplexity:MediumAuthentication:NoneConfidentialityImpact:PartialIntegrityImpact:PartialAvailabilityImpact:PartialCWECWE-611Affecteditems/forgotpw

Variations6Variatio1nsVariations1Variatio1nsAcunetixWebsiteAudit3HTMLformwithoutCSRFprotectionClassificationCVSSAccessVector:NetworkAccessComplexity:HighAuthentication:NoneConfidentialityImpact:NoneIntegrityImpact:PartialAvailabilityImpact:NoneCWECWE-352Affecteditems/UsercredentialsaresentincleartextClassificationCVSSAccessVector:NetworkAccessComplexity:LowAuthentication:NoneConfidentialityImpact:PartialIntegrityImpact:NoneAvailabilityImpact:NoneCWECWE-310Affecteditems/Clickjacking:X-Frame-OptionsheadermissingClassificationCVSSAccessVector:NetworkAccessComplexity:MediumAuthentication:NoneConfidentialityImpact:PartialIntegrityImpact:PartialAvailabilityImpact:PartialCWECWE-693AffecteditemsWebServerLoginpagepassword-guessingattackClassificationCVSSAccessVector:NetworkAccessComplexity:LowAuthentication:NoneConfidentialityImpact:PartialIntegrityImpact:NoneAvailabilityImpact:NoneCWECWE-307Affecteditems/login

Variations1Variations1Variatio1nsVariations1AcunetixWebsiteAudit4OPTIONSmethodisenabledClassificationCVSSAccessVector:NetworkAccessComplexity:LowAuthentication:NoneConfidentialityImpact:PartialIntegrityImpact:NoneAvailabilityImpact:NoneCWECWE-200AffecteditemsWebServerPossiblesensitivedirectoriesClassificationCVSSAccessVector:NetworkAccessComplexity:LowAuthentication:NoneConfidentialityImpact:PartialIntegrityImpact:NoneAvailabilityImpact:NoneCWECWE-200Affecteditems/adminPossiblevirtualhostfoundClassificationCVSSAccessVector:NetworkAccessComplexity:LowAuthentication:NoneConfidentialityImpact:PartialIntegrityImpact:NoneAvailabilityImpact:NoneCWECWE-200AffecteditemslocalhostSessionCookiewithoutHttpOnlyflagsetClassificationCVSSAccessVector:NetworkAccessComplexity:LowAuthentication:NoneConfidentialityImpact:NoneIntegrityImpact:NoneAvailabilityImpact:NoneCWECWE-16Affecteditems/

Variations1Variations1Variatio1nsVariations1AcunetixWebsiteAudit5SessionCookiewithoutSecureflagsetClassificationCVSSAccessVector:NetworkAccessComplexity:LowAuthentication:NoneConfidentialityImpact:NoneIntegrityImpact:NoneAvailabilityImpact:NoneCWECWE-16AffecteditemsVariatio/ns1Passwordtypeinputwithauto-completeenabledClassificationCVSSAccessVector:NetworkAccessComplexity:LowAuthentication:NoneConfidentialityImpact:NoneIntegrityImpact:NoneAvailabilityImpact:NoneCWECWE-200AffecteditemsVariatio/ns1AcunetixWebsiteAudit6AlertdetailsCrosssitescripting(verified)SeverityHighTypeValidationReportedbymoduleScripting(XSS.script)DescriptionThisscriptispossiblyvulnerabletoCrossSiteScripting(XSS)attacks.Crosssitescripting(alsoreferredtoasXSS)isavulnerabilitythatallowsanattackertosendmaliciouscode(usuallyintheformofJavascript)toanotheruser.Becauseabrowsercannotknowifthescriptshouldbetrustedornot,itwillexecutethescriptintheusercontextallowingtheattackertoaccessanycookiesorsessiontokensretainedbythebrowser.ImpactMalicioususersmayinjectJavaScript,VBScript,ActiveX,HTMLorFlashintoavulnerableapplicationtofoolauserinordertogatherdatafromthem.Anattackercanstealthesessioncookieandtakeovertheaccount,impersonatingtheuser.Itisalsopossibletomodifythecontentofthepagepresentedtotheuser.RecommendationYourscriptshouldfiltermetacharactersfromuserinput.ReferencesAcunetixCrossSiteScriptingAttackHowTo:PreventCross-SiteScriptinginASP.NETOWASPPHPTop5CrosssitescriptingXSSFilterEvasionCheatSheetXSSAnnihilationOWASPCrossSiteScriptingVIDEO:HowCross-SiteScripting(XSS)WorksTheCrossSiteScriptingFaqAffecteditems/DetailsCookieinputusernamewassetto1<script>prompt(997178)</script>Theinputisreflectedinsideatextelement.RequestheadersCookie:username=1<script>prompt(997178)</script>Referer::80/Connection:Keep-aliveAccept-Encoding:gzip,deflateAccept:*/*AcunetixWebsiteAudit7DOM-basedcrosssitescriptingSeverityHighTypeValidationReportedbymoduleDeepScanDescriptionThisscriptispossiblyvulnerabletoCrossSiteScripting(XSS)attacks.Crosssitescripting(alsoreferredtoasXSS)isavulnerabilitythatallowsanattackertosendmaliciouscode(usuallyintheformofJavascript)toanotheruser.Becauseabrowsercannotknowifthescriptshouldbetrustedornot,itwillexecutethescriptintheusercontextallowingtheattackertoaccessanycookiesorsessiontokensretainedbythebrowser.Whileatraditionalcross-sitescriptingvulnerabilityoccursontheserver-sidecode,documentobjectmodelbasedcross-sitescriptingisatypeofvulnerabilitywhichaffectsthescriptcodeintheclient'sbrowser.MalicioususersmayinjectJavaScript,VBScript,ActiveX,HTMLorFlashintoavulnerableapplicationtofoolauserinordertogatherdatafromthem.Anattackercanstealthesessioncookieandtakeovertheaccount,impersonatingtheuser.Itisalsopossibletomodifythecontentofthepagepresentedtotheuser./DetailsSource:ReferrerHeaderReferrer:/javascript:domxssExecutionSink(0,"<br>()refdxss")HTMLcodewritten:<iframename="ads_ads_frame"src="http://ads.bxss.me/ad_server.php?zone_id=234&ad_client=723898932&u_h=768&u_w=1366&pn=&ref=/javascript:domxssExecutionSink(0,"<br>()refdxss")&url=/&"...(linetruncated)StackTrace:at/ad.js:30at/ad.js:31/DetailsSource:ReferrerHeaderReferrer:/javascript:domxssExecutionSink(0,"<br>()refdxss")ExecutionSink:setHTMLcode(innerHTML/outerHTML/...)HTMLcodeset:unknowniscomingfrom<b>/javascript:domxssExecutionSink(0,"<br>()refdxss")</b>andhasvisitedthispage<b>1</b>timesStackTrace:AcunetixWebsiteAudit8/D:javascript:domxssExecutionSink(2,"<br>()wildxss")ExecutionSink:evaluatecode(eval/setTimeout/setInterval/...)Evaluatedcode:this.myObj=javascript:domxssExecutionSink(2,"<br>()wildxss")...StackTrace:at/static/app/libs/sessvars.js:105at/static/app/libs/sessvars.js:76at/static/app/libs/sessvars.js:202at/static/app/libs/sessvars.js:204/DetailsSource:LocationLocation:/?wvstest=javascript:domxssExecutionSink(1,"<br>()locxss")&HTMLcodewritten:<iframename="ads_ads_frame"...(linetruncated)StackTrace:at/ad.js:30at/ad.js:31/DetailsSource:LocationLocation:/?wvstest=javascript:domxssExecutionSink(1,"<br>()locxss")&HTMLcodewritten:<divclass="fb-comments"data-num-posts="4"data-width="470"data-href="/?wvstest=javascript:domxssExecutionSink(1,"<br>()locxss")&"></div>...StackTrace:at/static/app/post.js:119AcunetixWebsiteAudit9/DetailsSource:ReferrerHeaderReferrer:/javascript:domxssExecutionSink(0,"<br>()refdxss")ExecutionSink:setHTMLcode(innerHTML/outerHTML/...)HTMLcodeset:/acunetix/">Twitter</a></li></ul></div><!--/.well--></div><!--/span--><divclass="span10"><divclass="row-fluid"><divng-view=""></div></div><!--/row--></div><!--/span--></div><!--/row--><hr><divclass="row-fluid"><divclass="pull-left"style="font-size:xx-small;"id="refId">unknowniscomingfrom<b>/javascript:domxssExecutionSink(0,"<br>()refdxss")</b>andhasvisitedthispage<b>1</b>times.</div></div><footer><pclass="pull-left">?AcunetixLtd.2013</p></footer></div><!--/.fluid-container--><!--Modal--><divid="myModal"class="modalhidefade"tabindex="-1"role="dialog"aria-labelledby="myModalLabel"aria-hidden="true">AcunetixWebsiteAudit10nginxSPDYheapbufferoverflowSeverityHighTypeConfigurationReportedbymoduleScripting(Version_Check.script)DescriptionAheap-basedbufferoverflowintheSPDYimplementationinnginx1.3.15before1.4.7and1.5.xbefore1.5.12allowsremoteattackerstoexecutearbitrarycodeviaacraftedrequest.Theproblemaffectsnginxcompiledwiththengx_http_spdy_modulemodule(whichisnotcompiledbydefault)andwithout--with-debugconfigureoption,ifthe"spdy"optionofthe"listen"directiveisusedinaconfigurationfile.ImpactAnattackercancauseaheapmemorybufferoverflowinaworkerprocessbyusingaspeciallycraftedrequest,potentiallyresultinginarbitrarycodeexecutionRecommendationUpgradenginxtothelatestversionofapplythepatchprovidedbythevendor.Referencesnginxsecurityadvisory(CVE-2014-0133)nginxpatchCVE-2014-0133AffecteditemsWebServerDetailsAcunetixWebsiteAudit11VulnerableJavascriptlibrarySeverityHighTypeConfigurationReportedbymoduleScripting(Javascript_Libraries_Audit.script)DescriptionYouareusingavulnerableJavascriptlibrary.OneormorevulnerabilitieswerereportedforthisversionoftheJavascriptlibrary.ConsultAttackdetailsandWebReferencesformoreinformationabouttheaffectedlibraryandthevulnerabilitiesthatwerereported.ImpactConsultWebReferencesformoreinformation.RecommendationUpgradetothelatestversion.ReferencesAffecteditemsDetailsDetectedJavascriptlibrarysessvarsversion1.00.Theversionwasdetectedfromfilecontent.RequestheadersPragma:no-cacheCache-Control:no-cacheAcunetix-Aspect:enabledAcunetix-Aspect-Password:*Acunetix-Aspect-Queries:filelist;aspectalertsConnection:Keep-aliveAccept-Encoding:gzip,deflateUser-Agent:(WindowsNT6.1;WOW64)(KHTML,likeGecko)Accept:*/*AcunetixWebsiteAudit12XMLexternalentityinjectionSeverityHighTypeConfigurationReportedbymoduleScripting(XML_External_Entity_Injection.script)XMLsupportsafacilityknownas"externalentities",whichinstructanXMLprocessortoretrieveandperformaninlineincludeofXMLlocatedataparticularURI.AnexternalXMLentitycanbeusedtoappendormodifythedocumenttypedeclaration(DTD)associatedwithanXMLdocument.AnexternalXMLentitycanalsobeusedtoincludeXMLwithinthecontentofanXMLdocument.NowassumethattheXMLprocessorparsesdataoriginatingfromasourceunderattackercontrol.Mostofthetimetheprocessorwillnotbevalidating,butitMAYincludethereplacementtextthusinitiatinganunexpectedfileopenoperation,orHTTPtransfer,orwhateversystemidstheXMLprocessorknowshowtoaccess.belowisasampleXMLdocumentthatwillusethisfunctionalitytoincludethecontentsofalocalfile(/etc/passwd)<?xmlversion="1.0"encoding="utf-8"?><!DOCTYPEacunetix[<!ENTITYacunetixentSYSTEM"file:///etc/passwd">]><xxx>&acunetixent;</xxx>ImpactAttackscanincludedisclosinglocalfiles,whichmaycontainsensitivedatasuchaspasswordsorprivateuserdata,usingfile:schemesorrelativepathsinthesystemidentifier.SincetheattackoccursrelativetotheapplicationprocessingtheXMLdocument,anattackermayusethistrustedapplicationtopivottootherinternalsystems,possiblydisclosingotherinternalcontentviahttp(s)requests.Affecteditems/forgotpwDetailsCustomPOSTinputtext/xmlwassetto<?xmlversion="1.0"encoding="utf-8"?><!DOCTYPEacunetix[<!ENTITYacunetixentSYSTEM"http://hitGeSnJELhat.bxss.me/">]><xxx>&acunetixent;</xxx>AnHTTPrequestwasinitiatedforthedomainhitGeSnJELhat.bxss.mewhichindicatesthatthisscriptisvulnerabletoXXEinjection.HTTPrequestdetails:RequestheadersContent-Type:text/xmlContent-Length:156Connection:Keep-aliveAccept-Encoding:gzip,deflateUser-Agent:(WindowsNT6.1;(KHTML,likeGecko)Accept:*/*<?xmlversion="1.0"encoding="utf-8"?>AcunetixWebsiteAudit13<!DOCTYPEacunetix[<!ENTITYacunetixentSYSTEM"http://hitGeSnJELhat.bxss.me/">]><xxx>&acunetixent;</xxx>AcunetixWebsiteAudit14HTMLformwithoutCSRFprotectionSeverityMediumTypeInformationalReportedbymoduleCrawlerDescriptionThisalertmaybeafalsepositive,manualconfirmationisrequired.Cross-siterequestforgery,alsoknownasaone-clickattackorsessionridingandabbreviatedasCSRForXSRF,isatypeofmaliciousexploitofawebsitewherebyunauthorizedcommandsaretransmittedfromauserthatthewebsitetrusts.AcunetixWVSfoundaHTMLformwithnoapparentCSRFprotectionimplemented.ConsultdetailsformoreinformationabouttheaffectedHTMLform.ImpactAnattackermayforcetheusersofawebapplicationtoexecuteactionsoftheattacker''schoosing.AsuccessfulCSRFexploitcancompromiseenduserdataandoperationincaseofnormaluser.Ifthetargetedenduseristheadministratoraccount,thiscancompromisetheentirewebapplication.RecommendationCheckifthisformrequiresCSRFprotectionandimplementCSRFcountermeasuresifnecessary.Affecteditems/DetailsFormname:<empty>Formmethod:POSTForminputs:username[Text]password[Password]RequestheadersPragma:no-cacheCache-Control:no-cacheAcunetix-Aspect:enabledAcunetix-Aspect-Password:*Acunetix-Aspect-Queries:filelist;aspectalertsConnection:Keep-aliveAccept-Encoding:gzip,deflateUser-Agent:(WindowsNT6.1;WOW64)(KHTML,likeGecko)Accept:*/*AcunetixWebsiteAudit15UsercredentialsaresentincleartextSeverityMediumTypeConfigurationReportedbymoduleCrawlerDescriptionUsercredentialsaretransmittedoveranunencryptedchannel.Thisinformationshouldalwaysbetransferredviaanencryptedchannel(HTTPS)toavoidbeinginterceptedbymalicioususers.ImpactAthirdpartymaybeabletoreadtheusercredentialsbyinterceptinganunencryptedHTTPconnection.RecommendationBecauseusercredentialsareconsideredsensitiveinformation,shouldalwaysbetransferredtotheserveroveranencryptedconnection(HTTPS).Affecteditems/DetailsFormname:<empty>Formmethod:POSTForminputs:username[Text]password[Password]RequestheadersPragma:no-cacheCache-Control:no-cacheAcunetix-Aspect:enabledAcunetix-Aspect-Password:*Acunetix-Aspect-Queries:filelist;aspectalertsConnection:Keep-aliveAccept-Encoding:gzip,deflateUser-Agent:(WindowsNT6.1;WOW64)(KHTML,likeGecko)Accept:*/*AcunetixWebsiteAudit16Clickjacking:X-Frame-OptionsheadermissingSeverityLowTypeConfigurationReportedbymoduleScripting(Clickjacking_X_Frame_Options.script)DescriptionClickjacking(UserInterfaceredressattack,UIredressattack,UIredressing)isamalicioustechniqueoftrickingaWebuserintoclickingonsomethingdifferentfromwhattheuserperceivestheyareclickingon,thuspotentiallyrevealingconfidentialinformationortakingcontroloftheircomputerwhileclickingonseeminglyinnocuouswebpages.Theserverdidn'treturnanX-Frame-Optionsheaderwhichmeansthatthiswebsitecouldbeatriskofaclickjackingattack.TheX-Frame-OptionsHTTPresponseheadercanbeusedtoindicatewhetherornotabrowsershouldbeallowedtorenderapageina<frame>or<iframe>.Sitescanusethistoavoidclickjackingattacks,byensuringthattheircontentisnotembeddedintoothersites.ImpactTheimpactdependsontheaffectedwebapplication.RecommendationConfigureyourwebservertoincludeanX-Frame-Optionsheader.ConsultWebreferencesformoreinformationaboutthepossiblevaluesforthisheader.ReferencesClickjackingOriginalClickjackingpaperTheX-Frame-OptionsresponseheaderAffecteditemsWebServerDetailsNodetailsareavailable.RequestheadersCookie:username=adminConnection:Keep-aliveAccept-Encoding:gzip,deflateUser-Agent:(WindowsNT6.1;WOW64)(KHTML,likeGecko)Accept:*/*AcunetixWebsiteAudit17Loginpagepassword-guessingattackSeverityLowTypeValidationReportedbymoduleScripting(Html_Authentication_Audit.script)DescriptionAcommonthreatwebdevelopersfaceisapassword-guessingattackknownasabruteforceattack.Abrute-forceattackisanattempttodiscoverapasswordbysystematicallytryingeverypossiblecombinationofletters,numbers,andsymbolsuntilyoudiscovertheonecorrectcombinationthatworks.Thisloginpagedoesn'thaveanyprotectionagainstpassword-guessingattacks(bruteforceattacks).It'srecommendedtoimplementsometypeofaccountlockoutafteradefinednumberofincorrectpasswordattempts.ConsultWebreferencesformoreinformationaboutfixingthisproblem.ImpactAnattackermayattempttodiscoveraweakpasswordbysystematicallytryingeverypossiblecombinationofletters,numbers,andsymbolsuntilitdiscoverstheonecorrectcombinationthatworks.RecommendationIt'srecommendedtoimplementsometypeofaccountlockoutafteradefinednumberofincorrectpasswordattempts.ReferencesBlockingBruteForceAttacksAffecteditems/loginDetailsThescannertested10invalidcredentialsandnoaccountlockoutwasdetected.RequestheadersContent-Length:35Content-Type:application/x-www-form-urlencodedReferer::80/Connection:Keep-aliveAccept-Encoding:gzip,deflateAccept:*/*password=o0hSGecC&username=yt3cHv3bAcunetixWebsiteAudit18OPTIONSmethodisenabledSeverityLowTypeValidationReportedbymoduleScripting(Options_Server_Method.script)DescriptionHTTPOPTIONSmethodisenabledonthiswebserver.TheOPTIONSmethodprovidesalistofthemethodsthataresupportedbythewebserver,itrepresentsarequestforinformationaboutthecommunicationoptionsavailableontherequest/responsechainidentifiedbytheRequest-URI.ImpactTheOPTIONSmethodmayexposesensitiveinformationthatmayhelpanmalicioususertopreparemoreadvancedattacks.RecommendationIt'srecommendedtodisableOPTIONSMethodonthewebserver.ReferencesTestingforHTTPMethodsandXST(OWASP-CM-008)AffecteditemsWebServerDetailsMethodsallowed:HEAD,OPTIONS,GETRequestheadersConnection:Keep-aliveAccept-Encoding:gzip,deflateUser-Agent:(WindowsNT6.1;WOW64)(KHTML,likeGecko)Accept:*/*AcunetixWebsiteAudit19PossiblesensitivedirectoriesSeverityLowTypeValidationReportedbymoduleScripting(Possible_Sensitive_Directories.script)DescriptionApossiblesensitivedirectoryhasbeenfound.Thisdirectoryisnotdirectlylinkedfromthewebsite.Thischecklooksforcommonsensitiveresourceslikebackupdirectories,databasedumps,administrationpages,temporarydirectories.Eachoneofthesedirectoriescouldhelpanattackertolearnmoreabouthistarget.ImpactThisdirectorymayexposesensitiveinformationthatcouldhelpamalicioususertopreparemoreadvancedattacks.RecommendationRestrictaccesstothisdirectoryorremoveitfromthewebsite.ReferencesWebServerSecurityandDatabaseServerSecurityAffecteditems/adminDetailsNodetailsareavailable.RequestheadersAccept:acunetix/wvsRange:bytes=0-99999Connection:Keep-aliveAccept-Encoding:gzip,deflateUser-Agent:(WindowsNT6.1;WOW64)(KHTML,likeGecko)AcunetixWebsiteAudit20PossiblevirtualhostfoundSeverityLowTypeConfigurationReportedbymoduleScripting(VirtualHost_Audit.script)DescriptionVirtualhostingisamethodforhostingmultipledomainnames(withseparatehandlingofeachname)onasingleserver(orpoolofservers).Thisallowsoneservertoshareitsresources,suchasmemoryandprocessorcycles,withoutrequiringallservicesprovidedtousethesamehostname.ThiswebserverisrespondingdifferentlywhentheHostheaderismanipulatedandvariouscommonvirtualhostsaretested.ThiscouldindicatethereisaVirtualHostpresent.ImpactPossiblesensitiveinformationdisclosure.RecommendationConsultthevirtualhostconfigurationandcheckifthisvirtualhostshouldbepubliclyaccessible.ReferencesVirtualhostingAffecteditemslocalhostDetailsVirtualHost:localhostResponse:RequestheadersHost:localhostUser-Agent:Mozilla/5.0(Windows;U;MSIE9.0;WindowsNT9.0;en-US)AcunetixWebsiteAudit21SessionCookiewithoutHttpOnlyflagsetSeverityLowTypeInformationalReportedbymoduleCrawlerDescriptionThiscookiedoesnothavetheHTTPOnlyflagset.WhenacookieissetwiththeHTTPOnlyflag,itinstructsthebrowserthatthecookiecanonlybeaccessedbytheserverandnotbyclient-sidescripts.Thisisanimportantsecurityprotectionforsessioncookies.ImpactNoneRecommendationIfpossible,youshouldsettheHTTPOnlyflagforthiscookie.Affecteditems/DetailsCookiename:"username"Cookiedomain:""RequestheadersCookie:username=adminConnection:Keep-aliveAccept-Encoding:gzip,deflateUser-Agent:(WindowsNT6.1;WOW64)(KHTML,likeGecko)Accept:*/*AcunetixWebsiteAudit22SessionCookiewithoutSecureflagsetSeverityLowTypeInformationalReportedbymoduleCrawlerDescriptionThiscookiedoesnothavetheSecureflagset.WhenacookieissetwiththeSecureflag,itinstructsthebrowserthatthecookiecanonlybeaccessedoversecureSSLchannels.Thisisanimpo