安全检测结果报告

1、AWVS安全监测后发现的问题整体截图:问题个数AacunatixthrvallevelL由"白IHighAcunetixThreatLevel3Oneormoreh>gh-severitytype；jlneriibilitie5ha'.ebetndbcceredbythescanner.Amalicioususercanexploitthesevulnerabilitiesandcompromisethebackenddatabaseandrordefi«yourwebsite.TotalalertsfoundHighMediumOLownfomnjition

2、Al高级别漏洞问题截图1:DirectorytraversalinSpringframework希道VulnerabilitydescriptionAdirectorytraversalvulnerabilitywasreportedintheSpringframeworkrelatedwithstaticemourcghandling.SomeURLswerenotsantizedcorrectlybeforeuseallowinganattackertoobtainanyfileonthefilesystemttiatwasalsoaccessibletoprocessinwtiichth

3、eSpringwebapplicationwasirunning.AffoctodSpringvorcionc: SpringFramework3.0.4to32.11 SpringFramework4.0.0tc40.7*SpringFramework41.0to41.1tOtherunsupportedversionsmayalsob&affectedThisvulnerabilityaffects.：巧3曲”与臼口minws*Discoveredby:Scripting(Spring_Framework_ALiditscript)AttackdetailsNodetailsare

4、available.翻译：目录遍历Spring框架漏洞描述：目录遍历脆弱性在Spring框架与静态资源处理。一些url没有santized正确使用前允许攻击者获取文件系统上的任何文件，也可以处理的Springweb应用程序运行。影响Spring版本：Spring框架.11Spring框架4.0.04.0.7Spring框架4.1.0以下4.4.1其他不支持的版本也可能受到影响这种脆弱性影响/css/btstrap.min.css.发现:脚本(Spring_Framework_Audit.script)。攻击的细节：没有细节DirectorytraversalinSpringfr

5、ameworkhighVulrie前ilitydescripflonAdirectorytraversal例In和曰bilitywasreportedinfrieSpringframeworkrelaiedwithstaticresourcehandling.SomeURLswerenotsantizedcorrediybeforsuseallowinganattackerloobtainanyfl白anthefilesystemthatw勺gisoact电白却已定toprcc&ssinwhichtheSpringwbapplication-.vasrunning.erectedSpr

6、ingversions: SpringFramework3.04to3.2.11 SpringFrameworK4,0.0to40.7 SpringFraineA/ork4.1.Qto4.1.1 Otherursupportedversionsmaysisob也affectedITiis-/uineratiilityaffects修曲人匚力.Discover&dbyScriptingfSpring_Frameitscript.AttackdetailsFJodetailsareavailable翻译：目录遍历Spring框架漏洞描述：目录遍历脆弱性在Spring框架与静态资源处理。一些

7、url没有santized正确使用前允许攻击者获取文件系统上的任何文件，也可以处理的Springweb应用程序运行。影响Spring版本：Spring框架.11Spring框架4.0.04.0.7Spring框架4.1.0以下4.4.1其他不支持的版本也可能受到影响这种脆弱性影响/css/login.css.发现：脚本(Spring_Framework_Audit.script)攻击的细节：没有细节VulnerableJavascriptlibrary萧瑞ViJnerabilitvdescri口HooYauareusingavulnerableJavascriptlibrao.

8、Oneormore/'ulnerabilitieswerereportedhrtillsversionoftheJavascriptlibrary.ConsultAttackdetailsandWebReferencesformoreiriformaticnabouttheaffectedlibraryandthevulnerabilitiesthat.verereporteiiThisvulnerabilityaffeds，'归力即史-1了Nmjrkis.Discoveredby:ScriptingJavascript_Libraries_Auditscript)Attack

9、detailsDetectedJadscriptlibrar-jqueryyersion1,7.2Theversionvasdetectedfromfilename,filecont&ni翻译：脆弱的Javascript库漏洞描述：您使用的是一个脆弱的Javascript库。一个或多个漏洞报告了这个版本的Javascript库。和网络参考咨询攻击细节更多信息的图书馆和漏洞影响的报道。这个漏洞影响/js/jquery-1.7.2.min.js。发现：脚本(Javascript_Libraries_Audit.script)攻击的细节：检测到jqueryJavascript库版本是1.7.

10、2从文件名，文件版本检测内容。WeakpasswordSiSf?Vulnerabilityde-scnptjonManualconfirmationisrequiredforthisalert.Thispageisusing33kpasswordAcunetixV,V3wasabletoguesstriecredentialsr&quiredtoaccessttiis惘四Aweak:passwordisshort,common,asystemdefaultorscmeltiingtriatcould&erapidly-guessed仇executingabruteforcear

11、tacFusingasubsetofallpossiblepasswords,suchaswordsinthedicflonary,propernames,wordsbasedontlieusernarneorcammon'nations口nthesethemes.Ttiisvulnerabilityaffects.iMn,Discoveredby:Scripting(Html_Authenticaii0n_Audit.script).AttackdetailsUsername:admin,Password:111111翻译：弱密码漏洞描述：需要手动确认这个警报。这个页面使用弱密码。A

12、cunetix全球价值调查”主要根据能够猜所需的凭证访问这个页面。弱密码是短暂的常见的，系统默认值，或者可以通过执行快速猜蛮力攻击使用所有可能的密码的一个子集，比如单词在字典里适当的名称，基于用户名或常见的变化在这些主题。这个漏洞影响/login0发现：脚本(Html_Authentication_Audit.script)。攻击的细节：用户名：admin,密码：111111protocolservicemedHjUulner己EI0descriptionTheApacheJSerProlateIiiJP;isabinarypratoc&lthatcanproxyirboundeque

13、Btsfromawebserverthroughtoanapplicationserveritiatsitsbehindtfiewebserver,itsnotrscomnnendsdtoh37e-JPSEJigspublicaccessibleontheinterret.IfAJFisnnis(:onfiqijctitcouldallowanattackertoaccesstointernalresources.Thisvulnerat)ilit$afTedsServerDiscoveredby:Scripting(JP_Auditscript).AttackTheOFserviceisru

14、nningonTCPport8009.翻译：ApacheJServ协议服务漏洞描述：ApacheJServ协议(美国)是一种二进制协议，可以代理入站请求从web服务器到应用程序服务器，web服务器。不推荐美国服务公开在互联网上。如果美国是配置错误的它可能允许攻击者访问内部资源。这个漏洞影响服务器。发现：脚本(AJP_Audit.script)。攻击的细节：AJP服务运行在TCP端口8009上HTML仙rrnwithoutCSRFprotection送£%隔7山口号abilitydescriprionThisalertmaybeefahepositive,manualconfirmat

15、ionisrequired.Cross-siterequestforgery；alsoknonasaone-clickattackorsessionndirgandabbreviatedasCSRForXSRF.isatypeofnrijlidousexploitof3websitewherebyunauthorizedcammandsaretransmittedfromausertiiatttiewebsitetrusts.AcunetixA7SfoundaHTMLformwithnoapparentCSRFratedionimplemented.Consultdetailsformorei

16、nformationabouttheaffectedHTMLforiri.ThisTjlnerabilityaffects膻皿.Discoveredby:Crawler.AttackdetailsFormname<empty>Formaction-http:/n22-8080/lcgi11Formmethod:POSTForminputs:*usernameTextl«passwordPassA/ord翻译：HTML表单没有CSRF保护漏洞描述：这个警报可能是假阳性，手动确认是必需的。跨站点请求伪造，也称为一键攻击或者会话控制和缩写为CSRFXSRF是

17、一种恶意利用的一个网站，未经授权的命令是传播从一个网站的用户信任。Acunetix全球价值调查”主要根据发现没有明显的HTML表单CSRF保护实现的。咨询更多的细节关于影响HTML表单的信息。这个漏洞影响/login.。发现：履带。攻击的细节表单名称:<empty>表单操作:22:8080/login形式方法：POST表单输入：用户名（文本）密码（密码）中级别漏洞问题截图3:HTMLformwithoutCSRFprotectionmediumVulnerabilitydescriptionThisalertbeafalsepositive,man

18、ualconfirmationisrequired.Cross-siterequestforgeryalsoknownasaone-clickattackorsessionridingandabhrelatedasCSF?FrrX§RF.isat.ppeofmaliciousexploitofwebsitewherebyunauthorizedcornnnandsareIranumiltedfromausertiattliewebsitetrusts.AcunetixWVSfoundaHTMLformwithnoapparentCSRFprgteertiejnimplemented.

19、Consult胡tailsformereinformatiprabouttheaffectedHTMLformThisvulnerabili<affects升节mfindsDiscoj&redby:Crawl&r.AttackdetailsFormname:*emp>Formact!on:http19Z16S.022:8080/skysat&JlrdexFormmethod:POSTForminputs: usernameText passwordJPassword btriLoginSubmit：翻译：HTML表单没有CSRF保护漏洞描述：这个警报可能是假

20、阳性，手动确认是必需的。跨站点请求伪造，也称为一键攻击或者会话控制和缩写为CSRFXSRF是一种恶意利用的一个网站，未经授权的命令是传播从一个网站的用户信任。Acunetix全球价值调查”主要根据发现没有明显的HTML表单CSRF保护实现的。咨询更多的细节关于影响HTML表单的信息。这个漏洞影响/skysafe/index.。发现：履带。攻击的细节表单名称:<empty>表单操作：22:8080/skysafe/index形式方法：POST表单输入：用户名（文本）密码（密码）btnLogin提交中级别漏洞问题截图4:VulneratMlihdesc

21、riptionYourwetsen/erisvulnerabletoSlowHTTPDoS(DemalofServicfi)attacks.SlowlorisandSlowHTTPPOSTDoSattacksrelynthefactttiattheHTTPprotocol.b_.design,requiresrequeststobecompletelybytneserverbefcreifieyareprocessed.IfanHTTPrequestiisriotcomplete,ariftrigtransferrateisverylow,thekeepsitsresourcesbus./wa

22、itingfutherestoftiedata.11theserverKeepstoomanyresourcesbusythisereat&5odenialcfservice.Thisvulnera&ilityafreetsWebServerDiscoveredb.SlowHTTPDOS.-lTAttackdetailsTimedifferencebetweenconnections:9S5&ms翻译：缓慢的HTTP拒绝服务攻击漏洞描述您的web服务器是容易受到缓慢HTTPDoS（拒绝服务）攻击。Slowloris和缓慢的HTTPPOSTDoS攻击依赖于HTTP协议，通

23、过设计，需要完全由服务器接收请求处理。如果HTTP请求是不完整的，或者传输速率很低，服务器使其资源忙碌等待其余的数据。如果服务器繁忙让太多的资源，这将创建一个拒绝服务。这个漏洞影响Web服务器发现:Slow_HTTP_DOS。攻击的细节连接之间的时差:9968ms中级别漏洞问题截图5:UsercredentiarsaresentincleartextVulnerabilitydescriptionLlsercredentialsaretransmittedoveranunencryptedchannel.Thisinformationshouldalwa>sbetransferredviaanencryptedcfiann&l(HTTPS)toavoidceingintercepl&db/malidou&us&rs.Thisvulnerabilityaffects心加.iscoweredby:Crawler.AttackdetailsFermname:emptyFormaction:92168.0.222:808OflojinFonrirnethod:POSTForminputs: usernameT&xtJ pas&wordPassword翻译：用户凭证都以明文形式发送漏洞描述：用户凭证传输通过