安全檢測結(jié)果報告

1、AWVS安全監(jiān)測后發(fā)現(xiàn)的問題整體截圖:問題個數(shù)AacunatixthrvallevelL由"白IHighAcunetixThreatLevel3Oneormoreh>gh-severitytype；jlneriibilitie5ha'.ebetndbcceredbythescanner.Amalicioususercanexploitthesevulnerabilitiesandcompromisethebackenddatabaseandrordefi«yourwebsite.TotalalertsfoundHighMediumOLownfomnjition

2、Al高級別漏洞問題截圖1:DirectorytraversalinSpringframework希道VulnerabilitydescriptionAdirectorytraversalvulnerabilitywasreportedintheSpringframeworkrelatedwithstaticemourcghandling.SomeURLswerenotsantizedcorrectlybeforeuseallowinganattackertoobtainanyfileonthefilesystemttiatwasalsoaccessibletoprocessinwtiichth

3、eSpringwebapplicationwasirunning.AffoctodSpringvorcionc: SpringFramework3.0.4to32.11 SpringFramework4.0.0tc40.7*SpringFramework41.0to41.1tOtherunsupportedversionsmayalsob&affectedThisvulnerabilityaffects.：巧3曲”與臼口minws*Discoveredby:Scripting(Spring_Framework_ALiditscript)AttackdetailsNodetailsare

4、available.翻譯：目錄遍歷Spring框架漏洞描述：目錄遍歷脆弱性在Spring框架與靜態(tài)資源處理。一些url沒有santized正確使用前允許攻擊者獲取文件系統(tǒng)上的任何文件，也可以處理的Springweb應(yīng)用程序運行。影響Spring版本：Spring框架.11Spring框架4.0.04.0.7Spring框架4.1.0以下4.4.1其他不支持的版本也可能受到影響這種脆弱性影響/css/btstrap.min.css.發(fā)現(xiàn):腳本(Spring_Framework_Audit.script)。攻擊的細節(jié)：沒有細節(jié)DirectorytraversalinSpringfr

5、ameworkhighVulrie前ilitydescripflonAdirectorytraversal例In和曰bilitywasreportedinfrieSpringframeworkrelaiedwithstaticresourcehandling.SomeURLswerenotsantizedcorrediybeforsuseallowinganattackerloobtainanyfl白anthefilesystemthatw勺gisoact電白卻已定toprcc&ssinwhichtheSpringwbapplication-.vasrunning.erectedSpr

6、ingversions: SpringFramework3.04to3.2.11 SpringFrameworK4,0.0to40.7 SpringFraineA/ork4.1.Qto4.1.1 Otherursupportedversionsmaysisob也affectedITiis-/uineratiilityaffects修曲人匚力.Discover&dbyScriptingfSpring_Frameitscript.AttackdetailsFJodetailsareavailable翻譯：目錄遍歷Spring框架漏洞描述：目錄遍歷脆弱性在Spring框架與靜態(tài)資源處理。一些

7、url沒有santized正確使用前允許攻擊者獲取文件系統(tǒng)上的任何文件，也可以處理的Springweb應(yīng)用程序運行。影響Spring版本：Spring框架.11Spring框架4.0.04.0.7Spring框架4.1.0以下4.4.1其他不支持的版本也可能受到影響這種脆弱性影響/css/login.css.發(fā)現(xiàn)：腳本(Spring_Framework_Audit.script)攻擊的細節(jié)：沒有細節(jié)VulnerableJavascriptlibrary蕭瑞ViJnerabilitvdescri口HooYauareusingavulnerableJavascriptlibrao.

8、Oneormore/'ulnerabilitieswerereportedhrtillsversionoftheJavascriptlibrary.ConsultAttackdetailsandWebReferencesformoreiriformaticnabouttheaffectedlibraryandthevulnerabilitiesthat.verereporteiiThisvulnerabilityaffeds，'歸力即史-1了Nmjrkis.Discoveredby:ScriptingJavascript_Libraries_Auditscript)Attack

9、detailsDetectedJadscriptlibrar-jqueryyersion1,7.2Theversionvasdetectedfromfilename,filecont&ni翻譯：脆弱的Javascript庫漏洞描述：您使用的是一個脆弱的Javascript庫。一個或多個漏洞報告了這個版本的Javascript庫。和網(wǎng)絡(luò)參考咨詢攻擊細節(jié)更多信息的圖書館和漏洞影響的報道。這個漏洞影響/js/jquery-1.7.2.min.js。發(fā)現(xiàn)：腳本(Javascript_Libraries_Audit.script)攻擊的細節(jié)：檢測到j(luò)queryJavascript庫版本是1.7.

10、2從文件名，文件版本檢測內(nèi)容。WeakpasswordSiSf?Vulnerabilityde-scnptjonManualconfirmationisrequiredforthisalert.Thispageisusing33kpasswordAcunetixV,V3wasabletoguesstriecredentialsr&quiredtoaccessttiis惘四Aweak:passwordisshort,common,asystemdefaultorscmeltiingtriatcould&erapidly-guessed仇executingabruteforcear

11、tacFusingasubsetofallpossiblepasswords,suchaswordsinthedicflonary,propernames,wordsbasedontlieusernarneorcammon'nations口nthesethemes.Ttiisvulnerabilityaffects.iMn,Discoveredby:Scripting(Html_Authenticaii0n_Audit.script).AttackdetailsUsername:admin,Password:111111翻譯：弱密碼漏洞描述：需要手動確認這個警報。這個頁面使用弱密碼。A

12、cunetix全球價值調(diào)查”主要根據(jù)能夠猜所需的憑證訪問這個頁面。弱密碼是短暫的常見的，系統(tǒng)默認值，或者可以通過執(zhí)行快速猜蠻力攻擊使用所有可能的密碼的一個子集，比如單詞在字典里適當(dāng)?shù)拿Q，基于用戶名或常見的變化在這些主題。這個漏洞影響/login0發(fā)現(xiàn)：腳本(Html_Authentication_Audit.script)。攻擊的細節(jié)：用戶名：admin,密碼：111111protocolservicemedHjUulner己EI0descriptionTheApacheJSerProlateIiiJP;isabinarypratoc&lthatcanproxyirboundeque

13、Btsfromawebserverthroughtoanapplicationserveritiatsitsbehindtfiewebserver,itsnotrscomnnendsdtoh37e-JPSEJigspublicaccessibleontheinterret.IfAJFisnnis(:onfiqijctitcouldallowanattackertoaccesstointernalresources.Thisvulnerat)ilit$afTedsServerDiscoveredby:Scripting(JP_Auditscript).AttackTheOFserviceisru

14、nningonTCPport8009.翻譯：ApacheJServ協(xié)議服務(wù)漏洞描述：ApacheJServ協(xié)議(美國)是一種二進制協(xié)議，可以代理入站請求從web服務(wù)器到應(yīng)用程序服務(wù)器，web服務(wù)器。不推薦美國服務(wù)公開在互聯(lián)網(wǎng)上。如果美國是配置錯誤的它可能允許攻擊者訪問內(nèi)部資源。這個漏洞影響服務(wù)器。發(fā)現(xiàn)：腳本(AJP_Audit.script)。攻擊的細節(jié)：AJP服務(wù)運行在TCP端口8009上HTML仙rrnwithoutCSRFprotection送£%隔7山口號abilitydescriprionThisalertmaybeefahepositive,manualconfirmat

15、ionisrequired.Cross-siterequestforgery；alsoknonasaone-clickattackorsessionndirgandabbreviatedasCSRForXSRF.isatypeofnrijlidousexploitof3websitewherebyunauthorizedcammandsaretransmittedfromausertiiatttiewebsitetrusts.AcunetixA7SfoundaHTMLformwithnoapparentCSRFratedionimplemented.Consultdetailsformorei

16、nformationabouttheaffectedHTMLforiri.ThisTjlnerabilityaffects膻皿.Discoveredby:Crawler.AttackdetailsFormname<empty>Formaction-http:/n22-8080/lcgi11Formmethod:POSTForminputs:*usernameTextl«passwordPassA/ord翻譯：HTML表單沒有CSRF保護漏洞描述：這個警報可能是假陽性，手動確認是必需的?？缯军c請求偽造，也稱為一鍵攻擊或者會話控制和縮寫為CSRFXSRF是

17、一種惡意利用的一個網(wǎng)站，未經(jīng)授權(quán)的命令是傳播從一個網(wǎng)站的用戶信任。Acunetix全球價值調(diào)查”主要根據(jù)發(fā)現(xiàn)沒有明顯的HTML表單CSRF保護實現(xiàn)的。咨詢更多的細節(jié)關(guān)于影響HTML表單的信息。這個漏洞影響/login.。發(fā)現(xiàn)：履帶。攻擊的細節(jié)表單名稱:<empty>表單操作:22:8080/login形式方法：POST表單輸入：用戶名（文本）密碼（密碼）中級別漏洞問題截圖3:HTMLformwithoutCSRFprotectionmediumVulnerabilitydescriptionThisalertbeafalsepositive,man

18、ualconfirmationisrequired.Cross-siterequestforgeryalsoknownasaone-clickattackorsessionridingandabhrelatedasCSF?FrrX§RF.isat.ppeofmaliciousexploitofwebsitewherebyunauthorizedcornnnandsareIranumiltedfromausertiattliewebsitetrusts.AcunetixWVSfoundaHTMLformwithnoapparentCSRFprgteertiejnimplemented.

19、Consult胡tailsformereinformatiprabouttheaffectedHTMLformThisvulnerabili<affects升節(jié)mfindsDiscoj&redby:Crawl&r.AttackdetailsFormname:*emp>Formact!on:http19Z16S.022:8080/skysat&JlrdexFormmethod:POSTForminputs: usernameText passwordJPassword btriLoginSubmit：翻譯：HTML表單沒有CSRF保護漏洞描述：這個警報可能是假

20、陽性，手動確認是必需的?？缯军c請求偽造，也稱為一鍵攻擊或者會話控制和縮寫為CSRFXSRF是一種惡意利用的一個網(wǎng)站，未經(jīng)授權(quán)的命令是傳播從一個網(wǎng)站的用戶信任。Acunetix全球價值調(diào)查”主要根據(jù)發(fā)現(xiàn)沒有明顯的HTML表單CSRF保護實現(xiàn)的。咨詢更多的細節(jié)關(guān)于影響HTML表單的信息。這個漏洞影響/skysafe/index.。發(fā)現(xiàn)：履帶。攻擊的細節(jié)表單名稱:<empty>表單操作：22:8080/skysafe/index形式方法：POST表單輸入：用戶名（文本）密碼（密碼）btnLogin提交中級別漏洞問題截圖4:VulneratMlihdesc

21、riptionYourwetsen/erisvulnerabletoSlowHTTPDoS(DemalofServicfi)attacks.SlowlorisandSlowHTTPPOSTDoSattacksrelynthefactttiattheHTTPprotocol.b_.design,requiresrequeststobecompletelybytneserverbefcreifieyareprocessed.IfanHTTPrequestiisriotcomplete,ariftrigtransferrateisverylow,thekeepsitsresourcesbus./wa

22、itingfutherestoftiedata.11theserverKeepstoomanyresourcesbusythisereat&5odenialcfservice.Thisvulnera&ilityafreetsWebServerDiscoveredb.SlowHTTPDOS.-lTAttackdetailsTimedifferencebetweenconnections:9S5&ms翻譯：緩慢的HTTP拒絕服務(wù)攻擊漏洞描述您的web服務(wù)器是容易受到緩慢HTTPDoS（拒絕服務(wù)）攻擊。Slowloris和緩慢的HTTPPOSTDoS攻擊依賴于HTTP協(xié)議，通

23、過設(shè)計，需要完全由服務(wù)器接收請求處理。如果HTTP請求是不完整的，或者傳輸速率很低，服務(wù)器使其資源忙碌等待其余的數(shù)據(jù)。如果服務(wù)器繁忙讓太多的資源，這將創(chuàng)建一個拒絕服務(wù)。這個漏洞影響Web服務(wù)器發(fā)現(xiàn):Slow_HTTP_DOS。攻擊的細節(jié)連接之間的時差:9968ms中級別漏洞問題截圖5:UsercredentiarsaresentincleartextVulnerabilitydescriptionLlsercredentialsaretransmittedoveranunencryptedchannel.Thisinformationshouldalwa>sbetransferredviaanencryptedcfiann&l(HTTPS)toavoidceingintercepl&db/malidou&us&rs.Thisvulnerabilityaffects心加.iscoweredby:Crawler.AttackdetailsFermname:emptyFormaction:92168.0.222:808OflojinFonrirnethod:POSTForminputs: usernameT&xtJ pas&wordPassword翻譯：用戶憑證都以明文形式發(fā)送漏洞描述：用戶憑證傳輸通過