安全检测结果报告

1、AWVS安全监测后发现的问题整体截图：问题个数高级别漏洞问题截图1： 翻译：目录遍历Spring框架漏洞描述：目录遍历脆弱性在Spring框架与静态资源处理。一些url没有santized正确使用前允许攻击者获取文件系统上的任何文件,也可以处理的Spring web应用程序运行。影响Spring版本:Spring框架3.0.4 3.2.11Spring框架4.0.0 4.0.7Spring框架4.1.0以下4.4.1其他不支持的版本也可能受到影响这种脆弱性影响/css/btstrap.min.css.发现:脚本(Spring_Framework_Audit.script)。攻击的细节：没有细节

2、高级别漏洞问题截图2：翻译：目录遍历Spring框架漏洞描述：目录遍历脆弱性在Spring框架与静态资源处理。一些url没有santized正确使用前允许攻击者获取文件系统上的任何文件,也可以处理的Spring web应用程序运行。影响Spring版本:Spring框架3.0.4 3.2.11Spring框架4.0.0 4.0.7Spring框架4.1.0以下4.4.1其他不支持的版本也可能受到影响这种脆弱性影响/css/login.css.发现:脚本(Spring_Framework_Audit.script)。攻击的细节：没有细节高级别漏洞问题截图3：翻译：脆弱的Javascript库漏洞

3、描述：您使用的是一个脆弱的Javascript库。一个或多个漏洞报告了这个版本的Javascript库。和网络参考咨询攻击细节更多信息的图书馆和漏洞影响的报道。这个漏洞影响/ js / jquery-1.7.2.min.js。发现:脚本(Javascript_Libraries_Audit.script)。攻击的细节：检测到jquery Javascript库版本是1.7.2。从文件名,文件版本检测内容。高级别漏洞问题截图4：翻译：弱密码漏洞描述：需要手动确认这个警报。这个页面使用弱密码。Acunetix“全球价值调查”主要根据能够猜所需的凭证访问这个页面。弱密码是短暂的,常见的,系统默认值,

4、或者可以通过执行快速猜蛮力攻击使用所有可能的密码的一个子集,比如单词在字典里,适当的名称,基于用户名或常见的变化在这些主题。这个漏洞影响/login。发现:脚本(Html_Authentication_Audit.script)。攻击的细节：用户名:admin,密码:111111中级别漏洞问题截图1：翻译：Apache JServ协议服务漏洞描述：Apache JServ协议(美国)是一种二进制协议,可以代理入站请求从web服务器到应用程序服务器,web服务器。不推荐美国服务公开在互联网上。如果美国是配置错误的它可能允许攻击者访问内部资源。这个漏洞影响服务器。发现:脚本(AJP_Audit.s

5、cript)。攻击的细节：AJP服务运行在TCP端口8009上。中级别漏洞问题截图2：翻译：HTML表单没有CSRF保护漏洞描述：这个警报可能是假阳性,手动确认是必需的。跨站点请求伪造,也称为一键攻击或者会话控制和缩写为CSRF XSRF,是一种恶意利用的一个网站,未经授权的命令是传播从一个网站的用户信任。Acunetix“全球价值调查”主要根据发现没有明显的HTML表单CSRF保护实现的。咨询更多的细节关于影响HTML表单的信息。这个漏洞影响/login.。发现:履带。攻击的细节表单名称: <empty>表单操作: 22:8080/login形式

6、方法: POST表单输入:用户名(文本)密码(密码)中级别漏洞问题截图3：翻译：HTML表单没有CSRF保护漏洞描述：这个警报可能是假阳性,手动确认是必需的。跨站点请求伪造,也称为一键攻击或者会话控制和缩写为CSRF XSRF,是一种恶意利用的一个网站,未经授权的命令是传播从一个网站的用户信任。Acunetix“全球价值调查”主要根据发现没有明显的HTML表单CSRF保护实现的。咨询更多的细节关于影响HTML表单的信息。这个漏洞影响/skysafe/index.。发现:履带。攻击的细节表单名称: <empty>表单操作: 22:8080/skysa

7、fe/index形式方法: POST表单输入:用户名(文本)密码(密码)btnLogin提交中级别漏洞问题截图4：翻译：缓慢的HTTP拒绝服务攻击漏洞描述您的web服务器是容易受到缓慢HTTP DoS(拒绝服务)攻击。Slowloris和缓慢的HTTP POST DoS攻击依赖于HTTP协议,通过设计,需要完全由服务器接收请求处理。如果HTTP请求是不完整的,或者传输速率很低,服务器使其资源忙碌等待其余的数据。如果服务器繁忙让太多的资源,这将创建一个拒绝服务。这个漏洞影响Web服务器。发现:Slow_HTTP_DOS。攻击的细节连接之间的时差:9968 ms中级别漏洞问题截图5：翻译：用户凭证都以明文形式发送漏洞描述：用户凭证传输通过未加密的通道。这个信息应该通过加密传输通道(HTTPS),以避免被恶意用户拦截。这个漏洞影响/login。发现:履带。攻击的细节表单名称: <empty>表单操作: 22:8080/login形式方法: POST表单输入:用户名(文本)密码(密码)中级别漏洞问题截图6：翻译：用户凭证都以明文形式发送漏洞描述：用户凭证传输通过未加密的通道。这个信息应该通过加密传输通道(HTTPS),以避免被恶意用户拦截。这个漏洞影响/sky