欢迎来到天天文库
浏览记录
ID:23495784
大小:55.00 KB
页数:8页
时间:2018-11-07
《网站漏洞整改报告》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库。
1、网站漏洞整改报告按照国家《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定,全面落实互联网安全保护制度和安全保护技术措施,对网站、信息安全进行了严格漏洞安全检查工作。本次网站安全检查是完全站在攻击者角度,模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试,通过结合多方面的攻击技术进行测试,发现本校个别网站系统存在比较明显的可利用的安全漏洞,针对已存在漏洞的系统需要进行重点加固。本次检查结果和处理方案如下:www.nwpu.edu.
2、cn高危漏洞0个页面严重漏洞0个页面警告漏洞0个页面轻微漏洞0个页面同主机网站安全正常虚假或欺诈网站正常挂马或恶意网站正常恶意篡改正常敏感内容正常安全状况安全som.nwpu.edu.cn漏洞类型:SQL注入/XPath请求方式:POST影响页面:http://som.nwpu.edu.cn/webDeanBoxAction.do处理方案:通过在Web应用程序中增加通用防注入程序来防止SQL注入攻击。通用SQL防注入程序通常在数据库连接文件中被引入,并在程序执行过程中对常见的GET、POST、Cookie等提交方式进行过滤
3、处理,拦截可能存在的SQL注入攻击。sysc.nwpu.edu.cn漏洞类型:SQL注入/XPath、XSS跨站脚本攻击请求方式:POST影响页面:http://sysc.nwpu.edu.cn/sbcxsearch.asp处理方案:此网站已经新做,新版正测试中,马上投入使用。jpkc.nwpu.edu.cn:80/jp2005/08漏洞类型:XSS跨站脚本攻击漏洞证据:影响页面:http://jpkc.nwpu.edu.cn:80/jp2005/08/flashs
4、how.asp?title=%CA%FD%D7%D6%B5%E7%C2%B7%D3%EB%CA%FD%D7%D6%B5%E7%D7%D3%BC%BC%CA%F5%BE%AB%C6%B7%BF%CE%B3%CC%C9%EA%B1%A8%CE%C4%BC%FE_%D0%BB%CB%C9%D4%C6">处理方案:方案一:站在安全的角度看,必须过滤用户输入的危险数据,默认用户所有的输入数据都是不安全的,根据自身网站程序做代码修改。方案二:使用防护脚本。(附代码)<%'Cod
5、ebysafe3OnErrorResumeNextifrequest.querystring<>""thencallstophacker(request.querystring,"'
6、<[^>]*?>
7、^+/v(8
8、9)
9、b(and
10、or)b.+?(>
11、<
12、=
13、binb
14、blikeb)
15、/*.+?*/
16、17、bEXECb18、UNION.+?SELECT19、UPDATE.+?SET20、INSERTs+INTO.+?VALUES21、(SELECT22、DELETE).+?FROM23、(CREATE24、25、ALTER26、DROP27、TRUNCATE)s+(TABLE28、DATABASE)")ifRequest.ServerVariables("HTTP_REFERER")<>""thencalltest(Request.ServerVariables("HTTP_REFERER"),"'29、b(and30、or)b.+?(>31、<32、=33、binb34、blikeb)35、/*.+?*/36、37、bEXECb38、UNION.+?SELECT39、UPDATE.+?SET40、INSERTs+INTO.+?VALUES41、42、(SELECT43、DELETE).+?FROM44、(CREATE45、ALTER46、DROP47、TRUNCATE)s+(TABLE48、DATABASE)")ifrequest.Cookies<>""thencallstophacker(request.Cookies,"b(and49、or)b.{1,6}?(=50、>51、<52、binb53、blikeb)54、/*.+?*/55、56、bEXECb57、UNION.+?SELECT58、UPDATE.+?SET59、INSERTs+INTO.+?VALUES60、(SELECT61、62、DELETE).+?FROM63、(CREATE64、ALTER65、DROP66、TRUNCATE)s+(TABLE67、DATABASE)")callstophacker(request.Form,"^+/v(868、9)69、b(and70、or)b.{1,6}?(=71、>72、<73、binb74、blikeb)75、/*.+
17、bEXECb
18、UNION.+?SELECT
19、UPDATE.+?SET
20、INSERTs+INTO.+?VALUES
21、(SELECT
22、DELETE).+?FROM
23、(CREATE
24、
25、ALTER
26、DROP
27、TRUNCATE)s+(TABLE
28、DATABASE)")ifRequest.ServerVariables("HTTP_REFERER")<>""thencalltest(Request.ServerVariables("HTTP_REFERER"),"'
29、b(and
30、or)b.+?(>
31、<
32、=
33、binb
34、blikeb)
35、/*.+?*/
36、37、bEXECb38、UNION.+?SELECT39、UPDATE.+?SET40、INSERTs+INTO.+?VALUES41、42、(SELECT43、DELETE).+?FROM44、(CREATE45、ALTER46、DROP47、TRUNCATE)s+(TABLE48、DATABASE)")ifrequest.Cookies<>""thencallstophacker(request.Cookies,"b(and49、or)b.{1,6}?(=50、>51、<52、binb53、blikeb)54、/*.+?*/55、56、bEXECb57、UNION.+?SELECT58、UPDATE.+?SET59、INSERTs+INTO.+?VALUES60、(SELECT61、62、DELETE).+?FROM63、(CREATE64、ALTER65、DROP66、TRUNCATE)s+(TABLE67、DATABASE)")callstophacker(request.Form,"^+/v(868、9)69、b(and70、or)b.{1,6}?(=71、>72、<73、binb74、blikeb)75、/*.+
37、bEXECb
38、UNION.+?SELECT
39、UPDATE.+?SET
40、INSERTs+INTO.+?VALUES
41、
42、(SELECT
43、DELETE).+?FROM
44、(CREATE
45、ALTER
46、DROP
47、TRUNCATE)s+(TABLE
48、DATABASE)")ifrequest.Cookies<>""thencallstophacker(request.Cookies,"b(and
49、or)b.{1,6}?(=
50、>
51、<
52、binb
53、blikeb)
54、/*.+?*/
55、56、bEXECb57、UNION.+?SELECT58、UPDATE.+?SET59、INSERTs+INTO.+?VALUES60、(SELECT61、62、DELETE).+?FROM63、(CREATE64、ALTER65、DROP66、TRUNCATE)s+(TABLE67、DATABASE)")callstophacker(request.Form,"^+/v(868、9)69、b(and70、or)b.{1,6}?(=71、>72、<73、binb74、blikeb)75、/*.+
56、bEXECb
57、UNION.+?SELECT
58、UPDATE.+?SET
59、INSERTs+INTO.+?VALUES
60、(SELECT
61、
62、DELETE).+?FROM
63、(CREATE
64、ALTER
65、DROP
66、TRUNCATE)s+(TABLE
67、DATABASE)")callstophacker(request.Form,"^+/v(8
68、9)
69、b(and
70、or)b.{1,6}?(=
71、>
72、<
73、binb
74、blikeb)
75、/*.+
此文档下载收益归作者所有
