网站漏洞整改报告记录.docx

网站漏洞整改报告记录.docx

《网站漏洞整改报告记录.docx》由会员分享，可在线阅读，更多相关《网站漏洞整改报告记录.docx（9页珍藏版）》请在冰豆网上搜索。

网站漏洞整改报告记录

网站漏洞整改报告记录

作者:

日期:

网站漏洞整改报告

按照国家《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定，全面落实互联网安全保护制度和安全保护技术措施，对网站、信息安全进行了严格漏洞安全检查工作。

本次网站安全检查是完全站在攻击者角度，模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试，通过结合多方面的攻击技术进行测试，发现本校个别网站系统存在比较明显的可利用的安全漏洞，针对已存在漏洞的系统需要进行重点加固。

本次检查结果和处理方案如下：

高危漏洞0个页面

严重漏洞0个页面

警告漏洞

0个页面

轻微漏洞

0个页面

wwwni

..edu.c

同主机网站安全正常

n

虚假或欺诈网站正常

挂马或恶意网站正常

恶意篡改

正常

敏感内容

正常

安全状况

安全

漏洞类型：

SQL注入/XPath

请求方式：

POST

som.lHBedu.cn

影响页面：

http：

//som.fl^|U|edu.cn/webDeanBoxAction.do

处理方案：

通过在Web应用程序中增加通用防注入程序来防止SQL注入攻击。

通用SQL防注入程序通常

在数据库连接文件中被引入，并在程序执行过

程中对常见的GETPOSTCookie等提交方式

进行过滤处理，拦截可能存在的SQL注入攻击。

漏洞类型：

SQL注入/XPath、XSS跨站脚本攻击

请求方式：

POST

syscmwpu.edu.c

影响页面：

n

处理方案：

此网站已经新做，新版正测试中，马上投入使用。

漏洞类型:

XSS跨站脚本攻击

\*+?

\*/|v\s*script\b|\bEXEC\b|UNION.+?

SELEC

T|UPDATE.+?

SET|INSERT\s+INTO.+?

VALUES|（SEL

ECT|DELETE）.+?

FROM|（CREATE|ALTER|DROP|TR

UNCATE）\s+（TABLE|DATABASE）"）

ifRequest.ServerVariables（"HTTP_REFERER"）<>""thencall

test（Request.ServerVariables（"HTTP_REFERER"）,"'

*/|v\s*script\b|\bEXEC\b|UNION.+?

SELECT|UPD

ATE.+?

SET|INSERT\s+INTO.+?

VALUES|（SELECT|DE

LETE）.+?

FROM|（CREATE|ALTER|DROP|TRUNCATE

）\s+（TABLE|DATABASE）"）

ifrequest.Cookies<>""thencall

stophacker（request.Cookies,"\b（and|or）\b.{1,6}?

（bEXEC\b|UNION.+?

SELECT|UPDATE.+?

SET|INSER

T\s+INTO.+?

VALUES|（SELECT|DELETE）.+?

FRCM|（

CREATE|ALTER|DROP|TRUNCATE）\s+（TABLE|DAT

ABASE）"）callstophacker（request.Form,"A\+/v（8|9）|\b（and|or）

\b.{1,6}?

（=|>|v|\bin\b|\blike\b）|/\*.+?

\*/|<\s*s

cript\b|v\s*img\b|\bEXEC\b|UNION.+?

SELECT|U

PDATE.+?

SET|INSERT\s+INTO.+?

VALUES|（SEL.ECT

|DELETE）.+?

FROM|（CREATE|ALTER|DROP|TRUN

CATE）\s+（TABLE|DATABASE）"）functiontest（values,re）

dimregex

setregex=newregexpregex.ignorecase=trueregex.global=trueregex.pattern=reifregex.test（values）then

IP=Request.ServerVariables（"HTTP_X_FORWARD_FOR"）

IfIP=""Then

IP=Request.ServerVariables（"REMOTE_ADDR"）endif

'slog（"

操作IP:

"&ip&"
操作时间：

"&now（）&"
操作页面：

"&Request.ServerVariables（"URL"）&"

"&Request.ServerVariables（"Request_Method"）&"
提交参数：

"&l_get&"
提交数据：

"&l_get2）

Response.Write（"

style='position:

fixed;top:

0px;width:

100%;height:

100%;background-color:

white;color:

green;font-weight:

bold;border-bottom:

5pxsolid#999;'>
您的提交带有不合法参数,谢谢合作!

v/div>"）Response.end

endif

setregex=nothing

endfunction

functionstophacker（values,re）diml_get,I_get2,n_get,regex,IPforeachn_getinvalues

foreachl_getinvaluesl_get2=values（l_get）setregex=newregexpregex.ignorecase=trueregex.global=trueregex.pattern=reifregex.test（l_get2）then

IP=Request.ServerVariables（"HTTP_X_FORWARD_FOR"）

IfIP=""Then

IP=Request.ServerVariables（"REMOTE_ADDR"）endif

'slog（"

操作IP:

"&ip&"
操作时间：

"&now（）&"
操作页面：

"&Request.ServerVariables（"URL"）&"

"&Request.ServerVariables（"Request_Method"）&"
提交参数：

"&l_get&"
提交数据：

"&lget2）

Response.Write（"

style='position:

fixed;top:

0px;width:

100%;height:

100%;background-color:

white;color:

green;font-weight:

bold;border-bottom:

5pxsolid#999;'>
您的提交带有不合法参数，谢谢合作!

"）

Response.end

endif

setregex=nothing

next

next

endfunction

subslog（logs）

dimtoppath,fs,Ts

toppath=Server.Mappath（"/log.htm"）

Setfs=

CreateObject（"scripting.filesystemobject"）

IfNot

Fs.FILEEXISTS（toppath）Then

Set

Ts=fs.createtextfile（toppath,True）

Ts.close

endif

Set

Ts=Fs.OpenTextFile（toppath,8）

Ts.writeline（logs）

Ts.Close

Set

Ts=nothing

Set

fs=nothing

endsub

%>

info.nWPI.edu.cn

漏洞类型：

XSS跨站脚本攻击

漏洞证据：