网站漏洞整改报告.docx
- 文档编号:2032085
- 上传时间:2022-10-26
- 格式:DOCX
- 页数:10
- 大小:49.74KB
网站漏洞整改报告.docx
《网站漏洞整改报告.docx》由会员分享,可在线阅读,更多相关《网站漏洞整改报告.docx(10页珍藏版)》请在冰豆网上搜索。
网站漏洞整改报告
网站漏洞整改报告
网站漏洞整改报告
按照国家《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定,全面落实互联网安全保护制度和安全保护技术措施,对网站、信息安全进行了严格漏洞安全检查工作。
本次网站安全检查是完全站在攻击者角度,模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试,通过结合多方面的攻击技术进行测试,发现本校个别网站系统存在比较明显的可利用的安全漏洞,针对已存在漏洞的系统需要进行重点加固。
本次检查结果和处理方案如下:
高危漏洞0个页面
严重漏洞0个页面
警告漏洞0个页面
轻微漏洞0个页面
同主机网站安全正常
虚假或欺诈网站正常
挂马或恶意网站正常
恶意篡改正常
敏感内容正常
安全状况安全
漏洞类型:
SQL注入/XPath
请求方式:
POST
影响页面:
处理方案:
通过在Web应用程序中增加通用防注入程序来防止SQL注入攻击。
通用SQL防注入程序通常在数据库连接文件中被引入,并在程序执行过程中对常见的GET、POST、Cookie等提交方式进行过滤处理,拦截可能存在的SQL注入攻击。
漏洞类型:
SQL注入/XPath、XSS跨站脚本攻击
请求方式:
POST
影响页面:
处理方案:
此网站已经新做,新版正测试中,马上投入使用。
:
80/jp2005/08
漏洞类型:
XSS跨站脚本攻击
漏洞证据:
影响页面:
:
80/jp2005/08/flashshow.asp?
title=%CA%FD%D7%D6%B5%E7%C2%B7%D3%EB%CA%FD%D7%D6%B5%E7%D7%D3%BC%BC%CA%F5%BE%AB%C6%B7%BF%CE%B3%CC%C9%EA%B1%A8%CE%C4%BC%FE_%D0%BB%CB%C9%D4%C6">
处理方案:
方案一:
站在安全的角度看,必须过滤用户输入的危险数据,默认用户所有的输入数据都是不安全的,根据自身网站程序做代码修改。
方案二:
使用防护脚本。
(附代码)
<%
'Codebysafe3
OnErrorResumeNext
ifrequest.querystring<>""thencallstophacker(request.querystring,"'|<[^>]*?
>|^\+/v(8|9)|\b(and|or)\b.+?
(>|<|=|\bin\b|\blike\b)|/\*.+?
\*/|<\s*script\b|\bEXEC\b|UNION.+?
SELECT|UPDATE.+?
SET|INSERT\s+INTO.+?
VALUES|(SELECT|DELETE).+?
FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)")
ifRequest.ServerVariables("HTTP_REFERER")<>""thencalltest(Request.ServerVariables("HTTP_REFERER"),"'|\b(and|or)\b.+?
(>|<|=|\bin\b|\blike\b)|/\*.+?
\*/|<\s*script\b|\bEXEC\b|UNION.+?
SELECT|UPDATE.+?
SET|INSERT\s+INTO.+?
VALUES|(SELECT|DELETE).+?
FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)")
ifrequest.Cookies<>""thencallstophacker(request.Cookies,"\b(and|or)\b.{1,6}?
(=|>|<|\bin\b|\blike\b)|/\*.+?
\*/|<\s*script\b|\bEXEC\b|UNION.+?
SELECT|UPDATE.+?
SET|INSERT\s+INTO.+?
VALUES|(SELECT|DELETE).+?
FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)")
callstophacker(request.Form,"^\+/v(8|9)|\b(and|or)\b.{1,6}?
(=|>|<|\bin\b|\blike\b)|/\*.+?
\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?
SELECT|UPDATE.+?
SET|INSERT\s+IN
style='position:
fixed;top:
0px;width:
100%;height:
100%;background-color:
white;color:
green;font-weight:
bold;border-bottom:
5pxsolid#999;'>
您的提交带有不合法参数,谢谢合作!
Response.end
endif
setregex=nothing
endfunction
functionstophacker(values,re)
diml_get,l_get2,n_get,regex,IP
foreachn_getinvalues
foreachl_getinvalues
l_get2=values(l_get)
setregex=newregexp
regex.ignorecase=true
regex.global=true
regex.pattern=re
ifregex.test(l_get2)then
IP=Request.ServerVariables("HTTP_X_FORWARDED_FOR")
IfIP=""Then
IP=Request.ServerVariables("REMOTE_ADDR")
endif
'slog("
操作IP:
"&ip&"
操作时间:
"&now()&"
操作页面:
"&Request.ServerVariables("URL")&"
提交方式:
"&Request.ServerVariables("Request_Method")&"
提交参数:
"&l_get&"
提交数据:
"&l_get2)
Response.Write(" fixed;top: 0px;width: 100%;height: 100%;background-color: white;color: green;font-weight: bold;border-bottom: 5pxsolid#999;'>
您的提交带有不合法参数,谢谢合作!
Response.end
endif
setregex=nothing
next
next
endfunction
subslog(logs)
dimtoppath,fs,Ts
toppath=Server.Mappath("/log.htm")
Setfs=CreateObject("scripting.filesystemobject")
IfNotFs.FILEEXISTS(toppath)Then
SetTs=fs.createtextfile(toppath,True)
Ts.close
endif
SetTs=Fs.OpenTextFile(toppath,8)
Ts.writeline(logs)
Ts.Close
SetTs=nothing
Setfs=nothing
endsub
%>
漏洞类型:
XSS跨站脚本攻击
漏洞证据:
影响页面:
:
80/servlet/Redirect?
linkto=/structure/wqfw"-->;alert(42873);"
处理方案:
方案一:
站在安全的角度看,必须过滤用户输入的危险数据,默认用户所有的输入数据都是不安全的,根据自身网站程序做代码修改。
方案二:
使用防护脚本。
输入资料过滤
<%
Stringmessage=request.getParameter("message");
message=message.replace('<','');
message=message.replace('>','');
message=message.replace('"','');
message=message.replace('\'','');
message=message.replace('/','');
message=message.replace('%','');
message=message.replace(';','');
message=message.replace('(','');
message=message.replace(')','');
message=message.replace('&','');
message=message.replace('+','_');
out.print(message);
%>
漏洞类型:
SQL注入漏洞(盲注)
漏洞证据:
InjectionType:
String
DatabaseType:
Access
影响页面:
处理方案:
1.在网页代码中需要对用户输入的数据进行严格过滤。
(代码如)
2.部署Web应用防火墙
3.对数据库操作进行监控
通过本次网站安全检查,发现使用学校统一的站群做的网站都没有问题,发现问题的都是各部门自建的网站,以后要加强安全管理宣传,自建网站逐步过渡到统一的站群管理系统以方便安全管理。
进一步规范管理,加强检查。
不断完善细化信息公开内容,增加发布信息量,提高数据的及时性、准确性,增强服务意识,推动各项工作健康有序发展。
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网站 漏洞 整改 报告
冰豆网所有资源均是用户自行上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作他用。
《巴黎圣母院》3000字读书心得范文.docx
-
《看上去很美》电影观后感5篇.docx
-
《房屋建筑学》复习题没答案.docx
-
《春》仿写作文8篇.docx
-
《关于提高农村学生小学语文中年段课外阅读能力的策略研究以古城小学为例》开题报告附课题项目申报表.docx
-
《海底两万里》读书笔记1000字精选多篇.docx
-
《三国演义》读后感1500字.docx
-
15教学4汉语教师资格等级考试.docx
-
《儿童如何学数学》读书笔记精选多篇.docx
-
《教育规划纲要》解读.docx
-
《房屋租赁合同》适用乙方模板1.docx
-
《你我他》教案.docx
-
《经济生活》练习题.docx
-
《侨联章程》.docx
-
《俗世奇人》高中读后感800字.docx
-
9A文信息安全复习题.docx
-
《选择希望人生》教案.docx
-
《创业基础》学习笔记与学习心得.docx
-
《杨氏之子》公开课教案.docx
-
13不符合项整改报告.docx
-
《节约用水珍惜水资源》综合实践活动案例.docx
-
56张从太空看地球的摄影照片.docx
-
《强制性产品认证管理办法》.docx
-
《廉颇蔺相如列传》4.docx
-
201X年安全标语大全word范文模板 17页.docx
-
《地学建模》作业.docx
-
22万亩油茶种植基地及吨年精制茶油生产线项目可行性研究报告书.docx
-
《谈生命》说课稿1.docx
-
《数字化城管系统建设导则》范文word版 12页.docx
-
72高考英语专题复习练习短文改错72.docx
-
《安全生产技术》真题 答案.docx
-
《现代通信网》阶段作业全解读.docx
-
RSA文件加密软件的设计与实现.docx
-
Table CSS剖析.docx
-
VB程序.docx
-
XX纯视觉婚纱影楼市场营销推广策划完整书.docx
-
XX旅游生态酒店庭院长廊工程项目组织设计施工可行性方案.docx
-
XX年幼儿园教研组长总结.docx
-
XX四有教师演讲稿4篇.docx
-
zwx二极管.docx
-
《python程序设计》基础知识及程序设计598题WW含参考答案.docx
-
《多媒体计算机的技术》高起专练习地的题目参考详解.docx
-
《家畜环境卫生学》实验指导书附作业 5专科选修要点.docx
-
《拿来主义》教案5苏教版必修3.docx
-
《我是歌手》第三季总决赛发挥最稳定的是汪涵.docx
-
《中考真题》山东省潍坊市中考语文试题原卷.docx
-
02九类综合题答题建模比较类.docx
-
4s店销售月度工作总结工作范文.docx
-
7A文大学英语专科单选题题库.docx
-
11中国石拱桥导学案.docx
-
18学年上学期高二期中考试英语试题附答案2.docx
