网站漏洞整改报告记录.docx
- 文档编号:7618823
- 上传时间:2023-01-25
- 格式:DOCX
- 页数:9
- 大小:92.42KB
网站漏洞整改报告记录.docx
《网站漏洞整改报告记录.docx》由会员分享,可在线阅读,更多相关《网站漏洞整改报告记录.docx(9页珍藏版)》请在冰豆网上搜索。
网站漏洞整改报告记录
网站漏洞整改报告记录
作者:
日期:
网站漏洞整改报告
按照国家《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定,全面落实互联网安全保护制度和安全保护技术措施,对网站、信息安全进行了严格漏洞安全检查工作。
本次网站安全检查是完全站在攻击者角度,模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试,通过结合多方面的攻击技术进行测试,发现本校个别网站系统存在比较明显的可利用的安全漏洞,针对已存在漏洞的系统需要进行重点加固。
本次检查结果和处理方案如下:
高危漏洞0个页面
严重漏洞0个页面
警告漏洞
0个页面
轻微漏洞
0个页面
wwwni
..edu.c
同主机网站安全正常
n
虚假或欺诈网站正常
挂马或恶意网站正常
恶意篡改
正常
敏感内容
正常
安全状况
安全
漏洞类型:
SQL注入/XPath
请求方式:
POST
som.lHBedu.cn
影响页面:
http:
//som.fl^|U|edu.cn/webDeanBoxAction.do
处理方案:
通过在Web应用程序中增加通用防注入程序来防止SQL注入攻击。
通用SQL防注入程序通常
在数据库连接文件中被引入,并在程序执行过
程中对常见的GETPOSTCookie等提交方式
进行过滤处理,拦截可能存在的SQL注入攻击。
漏洞类型:
SQL注入/XPath、XSS跨站脚本攻击
请求方式:
POST
syscmwpu.edu.c
影响页面:
n
处理方案:
此网站已经新做,新版正测试中,马上投入使用。
漏洞类型:
XSS跨站脚本攻击
\*+?
\*/|v\s*script\b|\bEXEC\b|UNION.+?
SELEC
T|UPDATE.+?
SET|INSERT\s+INTO.+?
VALUES|(SEL
ECT|DELETE).+?
FROM|(CREATE|ALTER|DROP|TR
UNCATE)\s+(TABLE|DATABASE)")
ifRequest.ServerVariables("HTTP_REFERER")<>""thencall
test(Request.ServerVariables("HTTP_REFERER"),"'
*/|v\s*script\b|\bEXEC\b|UNION.+?
SELECT|UPD
ATE.+?
SET|INSERT\s+INTO.+?
VALUES|(SELECT|DE
LETE).+?
FROM|(CREATE|ALTER|DROP|TRUNCATE
)\s+(TABLE|DATABASE)")
ifrequest.Cookies<>""thencall
stophacker(request.Cookies,"\b(and|or)\b.{1,6}?
(bEXEC\b|UNION.+?
SELECT|UPDATE.+?
SET|INSER
T\s+INTO.+?
VALUES|(SELECT|DELETE).+?
FRCM|(
CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DAT
ABASE)")callstophacker(request.Form,"A\+/v(8|9)|\b(and|or)
\b.{1,6}?
(=|>|v|\bin\b|\blike\b)|/\*.+?
\*/|<\s*s
cript\b|v\s*img\b|\bEXEC\b|UNION.+?
SELECT|U
PDATE.+?
SET|INSERT\s+INTO.+?
VALUES|(SEL.ECT
|DELETE).+?
FROM|(CREATE|ALTER|DROP|TRUN
CATE)\s+(TABLE|DATABASE)")functiontest(values,re)
dimregex
setregex=newregexpregex.ignorecase=trueregex.global=trueregex.pattern=reifregex.test(values)then
IP=Request.ServerVariables("HTTP_X_FORWARD_FOR")
IfIP=""Then
IP=Request.ServerVariables("REMOTE_ADDR")endif
'slog("
操作IP:
"&ip&"
操作时间:
"&now()&"
操作页面:
"&Request.ServerVariables("URL")&"
"&Request.ServerVariables("Request_Method")&"
提交参数:
"&l_get&"
提交数据:
"&l_get2)
Response.Write("
style='position:
fixed;top:
0px;width:
100%;height:
100%;background-color:
white;color:
green;font-weight:
bold;border-bottom:
5pxsolid#999;'>
您的提交带有不合法参数,谢谢合作!
v/div>")Response.end
endif
setregex=nothing
endfunction
functionstophacker(values,re)diml_get,I_get2,n_get,regex,IPforeachn_getinvalues
foreachl_getinvaluesl_get2=values(l_get)setregex=newregexpregex.ignorecase=trueregex.global=trueregex.pattern=reifregex.test(l_get2)then
IP=Request.ServerVariables("HTTP_X_FORWARD_FOR")
IfIP=""Then
IP=Request.ServerVariables("REMOTE_ADDR")endif
'slog("
操作IP:
"&ip&"
操作时间:
"&now()&"
操作页面:
"&Request.ServerVariables("URL")&"
"&Request.ServerVariables("Request_Method")&"
提交参数:
"&l_get&"
提交数据:
"&lget2)
Response.Write("
style='position:
fixed;top:
0px;width:
100%;height:
100%;background-color:
white;color:
green;font-weight:
bold;border-bottom:
5pxsolid#999;'>
您的提交带有不合法参数,谢谢合作!
Response.end
endif
setregex=nothing
next
next
endfunction
subslog(logs)
dimtoppath,fs,Ts
toppath=Server.Mappath("/log.htm")
Setfs=
CreateObject("scripting.filesystemobject")
IfNot
Fs.FILEEXISTS(toppath)Then
Set
Ts=fs.createtextfile(toppath,True)
Ts.close
endif
Set
Ts=Fs.OpenTextFile(toppath,8)
Ts.writeline(logs)
Ts.Close
Set
Ts=nothing
Set
fs=nothing
endsub
%>
info.nWPI.edu.cn
漏洞类型:
XSS跨站脚本攻击
漏洞证据:
copyright@ 2008-2022 冰点文档网站版权所有
经营许可证编号:鄂ICP备2022015515号-1