安全檢測結(jié)果報(bào)告

1、AWVS安全監(jiān)測后發(fā)現(xiàn)的問題整體截圖：問題個(gè)數(shù)高級別漏洞問題截圖1： 翻譯：目錄遍歷Spring框架漏洞描述：目錄遍歷脆弱性在Spring框架與靜態(tài)資源處理。一些url沒有santized正確使用前允許攻擊者獲取文件系統(tǒng)上的任何文件,也可以處理的Spring web應(yīng)用程序運(yùn)行。影響Spring版本:Spring框架3.0.4 3.2.11Spring框架4.0.0 4.0.7Spring框架4.1.0以下4.4.1其他不支持的版本也可能受到影響這種脆弱性影響/css/btstrap.min.css.發(fā)現(xiàn):腳本(Spring_Framework_Audit.script)。攻擊的細(xì)節(jié)：沒有細(xì)節(jié)

2、高級別漏洞問題截圖2：翻譯：目錄遍歷Spring框架漏洞描述：目錄遍歷脆弱性在Spring框架與靜態(tài)資源處理。一些url沒有santized正確使用前允許攻擊者獲取文件系統(tǒng)上的任何文件,也可以處理的Spring web應(yīng)用程序運(yùn)行。影響Spring版本:Spring框架3.0.4 3.2.11Spring框架4.0.0 4.0.7Spring框架4.1.0以下4.4.1其他不支持的版本也可能受到影響這種脆弱性影響/css/login.css.發(fā)現(xiàn):腳本(Spring_Framework_Audit.script)。攻擊的細(xì)節(jié)：沒有細(xì)節(jié)高級別漏洞問題截圖3：翻譯：脆弱的Javascript庫漏洞

3、描述：您使用的是一個(gè)脆弱的Javascript庫。一個(gè)或多個(gè)漏洞報(bào)告了這個(gè)版本的Javascript庫。和網(wǎng)絡(luò)參考咨詢攻擊細(xì)節(jié)更多信息的圖書館和漏洞影響的報(bào)道。這個(gè)漏洞影響/ js / jquery-1.7.2.min.js。發(fā)現(xiàn):腳本(Javascript_Libraries_Audit.script)。攻擊的細(xì)節(jié)：檢測到j(luò)query Javascript庫版本是1.7.2。從文件名,文件版本檢測內(nèi)容。高級別漏洞問題截圖4：翻譯：弱密碼漏洞描述：需要手動(dòng)確認(rèn)這個(gè)警報(bào)。這個(gè)頁面使用弱密碼。Acunetix“全球價(jià)值調(diào)查”主要根據(jù)能夠猜所需的憑證訪問這個(gè)頁面。弱密碼是短暫的,常見的,系統(tǒng)默認(rèn)值,

4、或者可以通過執(zhí)行快速猜蠻力攻擊使用所有可能的密碼的一個(gè)子集,比如單詞在字典里,適當(dāng)?shù)拿Q,基于用戶名或常見的變化在這些主題。這個(gè)漏洞影響/login。發(fā)現(xiàn):腳本(Html_Authentication_Audit.script)。攻擊的細(xì)節(jié)：用戶名:admin,密碼:111111中級別漏洞問題截圖1：翻譯：Apache JServ協(xié)議服務(wù)漏洞描述：Apache JServ協(xié)議(美國)是一種二進(jìn)制協(xié)議,可以代理入站請求從web服務(wù)器到應(yīng)用程序服務(wù)器,web服務(wù)器。不推薦美國服務(wù)公開在互聯(lián)網(wǎng)上。如果美國是配置錯(cuò)誤的它可能允許攻擊者訪問內(nèi)部資源。這個(gè)漏洞影響服務(wù)器。發(fā)現(xiàn):腳本(AJP_Audit.s

5、cript)。攻擊的細(xì)節(jié)：AJP服務(wù)運(yùn)行在TCP端口8009上。中級別漏洞問題截圖2：翻譯：HTML表單沒有CSRF保護(hù)漏洞描述：這個(gè)警報(bào)可能是假陽性,手動(dòng)確認(rèn)是必需的?？缯军c(diǎn)請求偽造,也稱為一鍵攻擊或者會(huì)話控制和縮寫為CSRF XSRF,是一種惡意利用的一個(gè)網(wǎng)站,未經(jīng)授權(quán)的命令是傳播從一個(gè)網(wǎng)站的用戶信任。Acunetix“全球價(jià)值調(diào)查”主要根據(jù)發(fā)現(xiàn)沒有明顯的HTML表單CSRF保護(hù)實(shí)現(xiàn)的。咨詢更多的細(xì)節(jié)關(guān)于影響HTML表單的信息。這個(gè)漏洞影響/login.。發(fā)現(xiàn):履帶。攻擊的細(xì)節(jié)表單名稱: <empty>表單操作: 22:8080/login形式

6、方法: POST表單輸入:用戶名(文本)密碼(密碼)中級別漏洞問題截圖3：翻譯：HTML表單沒有CSRF保護(hù)漏洞描述：這個(gè)警報(bào)可能是假陽性,手動(dòng)確認(rèn)是必需的?？缯军c(diǎn)請求偽造,也稱為一鍵攻擊或者會(huì)話控制和縮寫為CSRF XSRF,是一種惡意利用的一個(gè)網(wǎng)站,未經(jīng)授權(quán)的命令是傳播從一個(gè)網(wǎng)站的用戶信任。Acunetix“全球價(jià)值調(diào)查”主要根據(jù)發(fā)現(xiàn)沒有明顯的HTML表單CSRF保護(hù)實(shí)現(xiàn)的。咨詢更多的細(xì)節(jié)關(guān)于影響HTML表單的信息。這個(gè)漏洞影響/skysafe/index.。發(fā)現(xiàn):履帶。攻擊的細(xì)節(jié)表單名稱: <empty>表單操作: 22:8080/skysa

7、fe/index形式方法: POST表單輸入:用戶名(文本)密碼(密碼)btnLogin提交中級別漏洞問題截圖4：翻譯：緩慢的HTTP拒絕服務(wù)攻擊漏洞描述您的web服務(wù)器是容易受到緩慢HTTP DoS(拒絕服務(wù))攻擊。Slowloris和緩慢的HTTP POST DoS攻擊依賴于HTTP協(xié)議,通過設(shè)計(jì),需要完全由服務(wù)器接收請求處理。如果HTTP請求是不完整的,或者傳輸速率很低,服務(wù)器使其資源忙碌等待其余的數(shù)據(jù)。如果服務(wù)器繁忙讓太多的資源,這將創(chuàng)建一個(gè)拒絕服務(wù)。這個(gè)漏洞影響Web服務(wù)器。發(fā)現(xiàn):Slow_HTTP_DOS。攻擊的細(xì)節(jié)連接之間的時(shí)差:9968 ms中級別漏洞問題截圖5：翻譯：用戶憑證都以明文形式發(fā)送漏洞描述：用戶憑證傳輸通過未加密的通道。這個(gè)信息應(yīng)該通過加密傳輸通道(HTTPS),以避免被惡意用戶攔截。這個(gè)漏洞影響/login。發(fā)現(xiàn):履帶。攻擊的細(xì)節(jié)表單名稱: <empty>表單操作: 22:8080/login形式方法: POST表單輸入:用戶名(文本)密碼(密碼)中級別漏洞問題截圖6：翻譯：用戶憑證都以明文形式發(fā)送漏洞描述：用戶憑證傳輸通過未加密的通道。這個(gè)信息應(yīng)該通過加密傳輸通道(HTTPS),以避免被惡意用戶攔截。這個(gè)漏洞影響/sky