网站漏洞整改报告

1、 网站漏洞整改报告 按照国家中华人民共和国计算机信息系统安全保护条例、计算机信息网 络国际联网安全保护管理办法、互联网安全保护技术措施规定等有关法律法 规规定，全面落实互联网安全保护制度和安全保护技术措施， 对网站、信息安全 进行了严格漏洞安全检查工作。 本次网站安全检查是完全站在攻击者角度， 模拟黑客可能使用的攻击技术和 漏洞发现技术进行的安全性测试，通过结合多方面的攻击技术进行测试， 发现本 校个别网站系统存在比较明显的可利用的安全漏洞， 针对已存在漏洞的系统需要 进行重点加固。本次检查结果和处理方案如下： www.nWPedu.c 高危漏洞0个页面 严重漏洞0个页面 警告漏洞0个页面 轻

2、微漏洞0个页面 同主机网站安全正常 虚假或欺诈网站正常 挂马或恶意网站正常 恶意篡改正常 敏感内容正常 安全状况安全 som.|wpU-edu.c n 漏洞类型： SQL 注入/RPath 请求方式： POST 影响页面： http:/som.|wpU|edu.c n/webDea nBoRActio n.do 处理方案： 通过在Web应用程序中增加通用防注入程序来 防止SQL注入攻击。通用SQL防注入程序通常 在数据库连接文件中被引入，并在程序执行过 程中对常见的GET POST Cookie等提交方式 进行过滤处理，扌二截可能存在的SQL注入攻击。 jpkcnWBU-edu-c n :8O

3、/jp2ORR/08 漏洞证据: 影响页面: 处理方案: alert(42873)v/script http:/jpkc.nwPMipdu.c n:80/jp20RR/ 08/flashshow. asp?title=%CA%FD%D7%D6%B5%E7%C2%B7% %EB%CA%FD%D7%D6%B5%E7%D7%D3%BC %CA%F5%BE%AB%C6%B7%BF%CE%B3%CC EA%B1%A8%CE%C4%BC%FE_%D0%BB%CB% D4%C6alert(42873)v/script 方案一：站在安全的角度看，必须过滤用户输 入的危险数据，默认用户所有的输入数据都是 不安全

4、的，根据自身网站程序做代码修改。 方案二：使用防护脚本。(附代码) the ncallstophacker(req uest.querRstri ng,|R?F+/v(8|9)|b(a nd| or)b.+?(|v|=|bi nb|blikeb)|/R.+?R/|sRs criptb|bERECb|UNION.+?SELECT|UPDATE.+? 6D3 %BC %C9% 6C9% sRscjwpH.edu.c n 漏洞类型： SQL注入/RPath、RSS跨站脚本攻击 请求方式： POST 影响页面： http:/sR.c n/sbcRsearch.asp 处理方案： 此

5、网站已经新做，新版正测试中，马上投入使 用。 漏洞类型: RSS夸站脚本攻击 BLE|DATABASE) t ET|INSERTs+INTO.+?VALUES|(SELECT|DELETE).+ ?FROM|(CREATE|ALTER|DROP|TRUNCATE)s+(TA ifRequest.ServerVariables(HTTP_REFERER) hen calltest(Request.ServerVariables(HTTP_REF RER),|b(a nd|or)b.+?(|v|=|bi nb|blikeb) |八R.+?R/|vsRscriptb|bERECb|UNION.+?S

6、EL S|(S ECT|UPDATE.+?SET|INSERTs+INTO.+?VALUE OP| ELECT|DELETE).+?FROM|(CREATE|ALTER|DR TRUNCATE)s+(TABLE|DATABASE) ifrequest.Cookiesthe ncallstophacker(request. Cookies,b(a nd|or)b.1,6?(=|v|bi nb|blike b)|八R.+?R/|vsRscriptb|bERECb|UNION.+? LUES SELECT|UPDATE.+?SET|INSERTs+INTO.+?VA |(SELECT|DELETE)

7、.+?FROM|(CREATE|ALTER|DRO P|TRUNCATE)s+(TABLE|DATABASE) callstophacker(request.Form,A+/v(8|9)|b(a nd| sRscriptb|vsRimgb|bERECb|UNION.+?SELEC T|UPDATE.+?SET|INSERTs+INTO.+?VALUES|(SEL ECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TR dimregeR setregeR=n ewregeRp regeR.ig no recase=true regeR.global=true regeR

8、.patter n=re UNCATE)s+(TABLE|DATABASE) fun ctio ntest(values,re) ifregeR.test(values)the n D_FOR) IP=Request.ServerVariables(HTTP_R_FORWARDE lflP=The n IP=Request.ServerVariables(REMOTE_ADDR) en dif slog( 操作 IP:top:Op R;width:100%;height:100%;backgrou nd-color:whi te;color:gree n;fo nt-weight:bold;b

9、order-bottom:5 pRsolid#999;xbr的提交带有不合法参数，谢 谢合作!) Resp on se.e nd en dif setregeR=nothing endfunction fun ctio nstophacker(values,re) diml_get,l_get2,n_get,regeR,IP foreach n_geti nvalues foreachl_geti nvalues l_get2=values(l_get) setregeR=n ewregeRp regeR.ig no recase=true regeR.global=true regeR.pa

10、tter n=re ifregeR.test(l_get2)the n IP=Request.ServerVariables(HTTP_R_FORWAR D_FOR) IfIP=The n IP=Request.ServerVariables(REMOTE_ADDR) en dif slog( 操作 IP:top:Op R;width:100%;height:100%;backgrou nd-color:whi te;color:gree n;fo nt-weight:bold;border-bottom:5 pRsolid#999;xbr的提交带有不合法参数，谢 谢合作!v/div) Res

11、p on se.e nd en dif setregeR=nothing n eRt n eRt endfunction subslog(logs) dimtoppath,fs,Ts toppath=Server.Mappath(/log.htm) Setfs=CreateObject(scripti ng.filesRstemobject) lfNotFs.FILEERISTS(toppath)The n SetTs=fs.createteRtfile(toppath,True) Ts.close en dif SetTs=Fs.Ope nTeRtFile(toppath,8) Ts.wri

12、teli ne(logs) Ts.Close SetTs=no thi ng Setfs=no thi ng endsub % in .c n 漏洞类型： RSS跨站脚本攻击 漏洞证据： alert(42873)v/script 影响页面： http:/i nfo.nwpU|:80/servlet/Redirect?li nkt o=/structure/wqfw-;alert(42873); 处理方案： 方案一：站在安全的角度看，必须过滤用户输 入的危险数据，默认用户所有的输入数据都是 不安全的，根据自身网站程序做代码修改。 方案二：使用防护脚本。 输入资料过滤 ,”)

13、； message=message.replace(,); message=message.replace(”,”)； message=message.replace(/,”)； message=message.replace(%,”)； message=message.replace(;,”)； message=message.replace(,”)； message=message.replace(),”)； message=message.replace( out.pri nt(message); % .c n 漏洞类型： SQL注入漏洞（盲注） 漏洞证据： Injectio nTRpe:Stri ngDatabaseTRpe:Access 影响页面： http:/rei. nwpuipdu.c n/book/ow n_show_showim g.asp?own_id=122 处理方案： 1在网页代码中需要对用户输