安全檢測(cè)結(jié)果報(bào)告

1、AWVS安全監(jiān)測(cè)后發(fā)現(xiàn)的問(wèn)題整體截圖:問(wèn)題個(gè)數(shù)AacunatixthrvallevelL由"白IHighAcunetixThreatLevel3Oneormoreh>gh-severitytype；jlneriibilitie5ha'.ebetndbcceredbythescanner.Amalicioususercanexploitthesevulnerabilitiesandcompromisethebackenddatabaseandrordefi«yourwebsite.TotalalertsfoundHighMediumOLownfomnjition

2、Al高級(jí)別漏洞問(wèn)題截圖1:DirectorytraversalinSpringframework希道VulnerabilitydescriptionAdirectorytraversalvulnerabilitywasreportedintheSpringframeworkrelatedwithstaticemourcghandling.SomeURLswerenotsantizedcorrectlybeforeuseallowinganattackertoobtainanyfileonthefilesystemttiatwasalsoaccessibletoprocessinwtiichth

3、eSpringwebapplicationwasirunning.AffoctodSpringvorcionc: SpringFramework3.0.4to32.11 SpringFramework4.0.0tc40.7*SpringFramework41.0to41.1tOtherunsupportedversionsmayalsob&affectedThisvulnerabilityaffects.：巧3曲”與臼口minws*Discoveredby:Scripting(Spring_Framework_ALiditscript)AttackdetailsNodetailsare

4、available.翻譯：目錄遍歷Spring框架漏洞描述：目錄遍歷脆弱性在Spring框架與靜態(tài)資源處理。一些url沒(méi)有santized正確使用前允許攻擊者獲取文件系統(tǒng)上的任何文件，也可以處理的Springweb應(yīng)用程序運(yùn)行。影響Spring版本：Spring框架.11Spring框架4.0.04.0.7Spring框架4.1.0以下4.4.1其他不支持的版本也可能受到影響這種脆弱性影響/css/btstrap.min.css.發(fā)現(xiàn):腳本(Spring_Framework_Audit.script)。攻擊的細(xì)節(jié)：沒(méi)有細(xì)節(jié)DirectorytraversalinSpringfr

5、ameworkhighVulrie前ilitydescripflonAdirectorytraversal例In和曰bilitywasreportedinfrieSpringframeworkrelaiedwithstaticresourcehandling.SomeURLswerenotsantizedcorrediybeforsuseallowinganattackerloobtainanyfl白anthefilesystemthatw勺gisoact電白卻已定toprcc&ssinwhichtheSpringwbapplication-.vasrunning.erectedSpr

6、ingversions: SpringFramework3.04to3.2.11 SpringFrameworK4,0.0to40.7 SpringFraineA/ork4.1.Qto4.1.1 Otherursupportedversionsmaysisob也affectedITiis-/uineratiilityaffects修曲人匚力.Discover&dbyScriptingfSpring_Frameitscript.AttackdetailsFJodetailsareavailable翻譯：目錄遍歷Spring框架漏洞描述：目錄遍歷脆弱性在Spring框架與靜態(tài)資源處理。一些

7、url沒(méi)有santized正確使用前允許攻擊者獲取文件系統(tǒng)上的任何文件，也可以處理的Springweb應(yīng)用程序運(yùn)行。影響Spring版本：Spring框架.11Spring框架4.0.04.0.7Spring框架4.1.0以下4.4.1其他不支持的版本也可能受到影響這種脆弱性影響/css/login.css.發(fā)現(xiàn)：腳本(Spring_Framework_Audit.script)攻擊的細(xì)節(jié)：沒(méi)有細(xì)節(jié)VulnerableJavascriptlibrary蕭瑞ViJnerabilitvdescri口HooYauareusingavulnerableJavascriptlibrao.

8、Oneormore/'ulnerabilitieswerereportedhrtillsversionoftheJavascriptlibrary.ConsultAttackdetailsandWebReferencesformoreiriformaticnabouttheaffectedlibraryandthevulnerabilitiesthat.verereporteiiThisvulnerabilityaffeds，'歸力即史-1了Nmjrkis.Discoveredby:ScriptingJavascript_Libraries_Auditscript)Attack

9、detailsDetectedJadscriptlibrar-jqueryyersion1,7.2Theversionvasdetectedfromfilename,filecont&ni翻譯：脆弱的Javascript庫(kù)漏洞描述：您使用的是一個(gè)脆弱的Javascript庫(kù)。一個(gè)或多個(gè)漏洞報(bào)告了這個(gè)版本的Javascript庫(kù)。和網(wǎng)絡(luò)參考咨詢攻擊細(xì)節(jié)更多信息的圖書(shū)館和漏洞影響的報(bào)道。這個(gè)漏洞影響/js/jquery-1.7.2.min.js。發(fā)現(xiàn)：腳本(Javascript_Libraries_Audit.script)攻擊的細(xì)節(jié)：檢測(cè)到j(luò)queryJavascript庫(kù)版本是1.7.

10、2從文件名，文件版本檢測(cè)內(nèi)容。WeakpasswordSiSf?Vulnerabilityde-scnptjonManualconfirmationisrequiredforthisalert.Thispageisusing33kpasswordAcunetixV,V3wasabletoguesstriecredentialsr&quiredtoaccessttiis惘四Aweak:passwordisshort,common,asystemdefaultorscmeltiingtriatcould&erapidly-guessed仇executingabruteforcear

11、tacFusingasubsetofallpossiblepasswords,suchaswordsinthedicflonary,propernames,wordsbasedontlieusernarneorcammon'nations口nthesethemes.Ttiisvulnerabilityaffects.iMn,Discoveredby:Scripting(Html_Authenticaii0n_Audit.script).AttackdetailsUsername:admin,Password:111111翻譯：弱密碼漏洞描述：需要手動(dòng)確認(rèn)這個(gè)警報(bào)。這個(gè)頁(yè)面使用弱密碼。A

12、cunetix全球價(jià)值調(diào)查”主要根據(jù)能夠猜所需的憑證訪問(wèn)這個(gè)頁(yè)面。弱密碼是短暫的常見(jiàn)的，系統(tǒng)默認(rèn)值，或者可以通過(guò)執(zhí)行快速猜蠻力攻擊使用所有可能的密碼的一個(gè)子集，比如單詞在字典里適當(dāng)?shù)拿Q，基于用戶名或常見(jiàn)的變化在這些主題。這個(gè)漏洞影響/login0發(fā)現(xiàn)：腳本(Html_Authentication_Audit.script)。攻擊的細(xì)節(jié)：用戶名：admin,密碼：111111protocolservicemedHjUulner己EI0descriptionTheApacheJSerProlateIiiJP;isabinarypratoc&lthatcanproxyirboundeque

13、Btsfromawebserverthroughtoanapplicationserveritiatsitsbehindtfiewebserver,itsnotrscomnnendsdtoh37e-JPSEJigspublicaccessibleontheinterret.IfAJFisnnis(:onfiqijctitcouldallowanattackertoaccesstointernalresources.Thisvulnerat)ilit$afTedsServerDiscoveredby:Scripting(JP_Auditscript).AttackTheOFserviceisru

14、nningonTCPport8009.翻譯：ApacheJServ協(xié)議服務(wù)漏洞描述：ApacheJServ協(xié)議(美國(guó))是一種二進(jìn)制協(xié)議，可以代理入站請(qǐng)求從web服務(wù)器到應(yīng)用程序服務(wù)器，web服務(wù)器。不推薦美國(guó)服務(wù)公開(kāi)在互聯(lián)網(wǎng)上。如果美國(guó)是配置錯(cuò)誤的它可能允許攻擊者訪問(wèn)內(nèi)部資源。這個(gè)漏洞影響服務(wù)器。發(fā)現(xiàn)：腳本(AJP_Audit.script)。攻擊的細(xì)節(jié)：AJP服務(wù)運(yùn)行在TCP端口8009上HTML仙rrnwithoutCSRFprotection送£%隔7山口號(hào)abilitydescriprionThisalertmaybeefahepositive,manualconfirmat

15、ionisrequired.Cross-siterequestforgery；alsoknonasaone-clickattackorsessionndirgandabbreviatedasCSRForXSRF.isatypeofnrijlidousexploitof3websitewherebyunauthorizedcammandsaretransmittedfromausertiiatttiewebsitetrusts.AcunetixA7SfoundaHTMLformwithnoapparentCSRFratedionimplemented.Consultdetailsformorei

16、nformationabouttheaffectedHTMLforiri.ThisTjlnerabilityaffects膻皿.Discoveredby:Crawler.AttackdetailsFormname<empty>Formaction-http:/n22-8080/lcgi11Formmethod:POSTForminputs:*usernameTextl«passwordPassA/ord翻譯：HTML表單沒(méi)有CSRF保護(hù)漏洞描述：這個(gè)警報(bào)可能是假陽(yáng)性，手動(dòng)確認(rèn)是必需的?？缯军c(diǎn)請(qǐng)求偽造，也稱為一鍵攻擊或者會(huì)話控制和縮寫(xiě)為CSRFXSRF是

17、一種惡意利用的一個(gè)網(wǎng)站，未經(jīng)授權(quán)的命令是傳播從一個(gè)網(wǎng)站的用戶信任。Acunetix全球價(jià)值調(diào)查”主要根據(jù)發(fā)現(xiàn)沒(méi)有明顯的HTML表單CSRF保護(hù)實(shí)現(xiàn)的。咨詢更多的細(xì)節(jié)關(guān)于影響HTML表單的信息。這個(gè)漏洞影響/login.。發(fā)現(xiàn)：履帶。攻擊的細(xì)節(jié)表單名稱:<empty>表單操作:22:8080/login形式方法：POST表單輸入：用戶名（文本）密碼（密碼）中級(jí)別漏洞問(wèn)題截圖3:HTMLformwithoutCSRFprotectionmediumVulnerabilitydescriptionThisalertbeafalsepositive,man

18、ualconfirmationisrequired.Cross-siterequestforgeryalsoknownasaone-clickattackorsessionridingandabhrelatedasCSF?FrrX§RF.isat.ppeofmaliciousexploitofwebsitewherebyunauthorizedcornnnandsareIranumiltedfromausertiattliewebsitetrusts.AcunetixWVSfoundaHTMLformwithnoapparentCSRFprgteertiejnimplemented.

19、Consult胡tailsformereinformatiprabouttheaffectedHTMLformThisvulnerabili<affects升節(jié)mfindsDiscoj&redby:Crawl&r.AttackdetailsFormname:*emp>Formact!on:http19Z16S.022:8080/skysat&JlrdexFormmethod:POSTForminputs: usernameText passwordJPassword btriLoginSubmit：翻譯：HTML表單沒(méi)有CSRF保護(hù)漏洞描述：這個(gè)警報(bào)可能是假

20、陽(yáng)性，手動(dòng)確認(rèn)是必需的。跨站點(diǎn)請(qǐng)求偽造，也稱為一鍵攻擊或者會(huì)話控制和縮寫(xiě)為CSRFXSRF是一種惡意利用的一個(gè)網(wǎng)站，未經(jīng)授權(quán)的命令是傳播從一個(gè)網(wǎng)站的用戶信任。Acunetix全球價(jià)值調(diào)查”主要根據(jù)發(fā)現(xiàn)沒(méi)有明顯的HTML表單CSRF保護(hù)實(shí)現(xiàn)的。咨詢更多的細(xì)節(jié)關(guān)于影響HTML表單的信息。這個(gè)漏洞影響/skysafe/index.。發(fā)現(xiàn)：履帶。攻擊的細(xì)節(jié)表單名稱:<empty>表單操作：22:8080/skysafe/index形式方法：POST表單輸入：用戶名（文本）密碼（密碼）btnLogin提交中級(jí)別漏洞問(wèn)題截圖4:VulneratMlihdesc

21、riptionYourwetsen/erisvulnerabletoSlowHTTPDoS(DemalofServicfi)attacks.SlowlorisandSlowHTTPPOSTDoSattacksrelynthefactttiattheHTTPprotocol.b_.design,requiresrequeststobecompletelybytneserverbefcreifieyareprocessed.IfanHTTPrequestiisriotcomplete,ariftrigtransferrateisverylow,thekeepsitsresourcesbus./wa

22、itingfutherestoftiedata.11theserverKeepstoomanyresourcesbusythisereat&5odenialcfservice.Thisvulnera&ilityafreetsWebServerDiscoveredb.SlowHTTPDOS.-lTAttackdetailsTimedifferencebetweenconnections:9S5&ms翻譯：緩慢的HTTP拒絕服務(wù)攻擊漏洞描述您的web服務(wù)器是容易受到緩慢HTTPDoS（拒絕服務(wù)）攻擊。Slowloris和緩慢的HTTPPOSTDoS攻擊依賴于HTTP協(xié)議，通

23、過(guò)設(shè)計(jì)，需要完全由服務(wù)器接收請(qǐng)求處理。如果HTTP請(qǐng)求是不完整的，或者傳輸速率很低，服務(wù)器使其資源忙碌等待其余的數(shù)據(jù)。如果服務(wù)器繁忙讓太多的資源，這將創(chuàng)建一個(gè)拒絕服務(wù)。這個(gè)漏洞影響Web服務(wù)器發(fā)現(xiàn):Slow_HTTP_DOS。攻擊的細(xì)節(jié)連接之間的時(shí)差:9968ms中級(jí)別漏洞問(wèn)題截圖5:UsercredentiarsaresentincleartextVulnerabilitydescriptionLlsercredentialsaretransmittedoveranunencryptedchannel.Thisinformationshouldalwa>sbetransferredviaanencryptedcfiann&l(HTTPS)toavoidceingintercepl&db/malidou&us&rs.Thisvulnerabilityaffects心加.iscoweredby:Crawler.AttackdetailsFermname:emptyFormaction:92168.0.222:808OflojinFonrirnethod:POSTForminputs: usernameT&xtJ pas&wordPassword翻譯：用戶憑證都以明文形式發(fā)送漏洞描述：用戶憑證傳輸通過(guò)