問:http://szsi-tech.com.cn/,客戶檢測網(wǎng)站列出一下問題,域名和截圖如下
答:您好,請?zhí)峁┚唧w詳情信息我們查看下,非常感謝您長期對我司的支持!
問:1. 基本信息掃描目標(biāo)IP127.0.0.1掃描目標(biāo)網(wǎng)站szsi-tech.com.cn網(wǎng)站名稱芯矽科技責(zé)任單位蘇州芯矽電子科技有限公司安全狀況高危地 蘇州 行業(yè)互聯(lián)網(wǎng)企業(yè)發(fā)現(xiàn)時間 11:43:01 2.漏洞類型統(tǒng)計2.1網(wǎng)站漏洞掃描危險等級漏洞類型數(shù)量高危跨站腳本攻擊33.漏洞詳情1、跨站腳本攻擊漏洞鏈接:http://szsi-tech.com.cn/login/home/css/漏洞說明:{\”risk_category\”:\”sec_vul\”,\”rule_name\”:\”xss\”,\”raw_request_header\”:\”GET /login/home\’\\\”><svg onload=alert(0xf62d8b)>/css/ HTTP/1.1\\r\\nAccept-Encoding: gzip, deflate\\r\\nConnection: keep-alive\\r\\nAccept: text/html,application/xhtml xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3\\r\\nUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3508.0 Safari/537.36\\r\\nHost: szsi-tech.com.cn\\r\\re-Requests: 1\\r\\nCookie: preurl=%2F; cookietest=1; captchaExpire=; PHPSESSID=6e4hpspiij4g13tps4rsn7dc44; captchaKey=8cc0aa58d0\\r\\n\\r\\n\”,\”raw_response_header\”:\”HTTP/1.1 200 OK\\r\\nServer: wts/1.2\\r\\nDate: Tue, 08 Sep 2020 08:31:47 GMT\\r\\nContent-Type: text/html\\r\\nng: chunked\\r\\nConnection: keep-alive\\r\\nX-Powered-By: PHP/5.2.17p1\\r\\nExpires: Thu, 19 Nov 1981 08:52:00 GMT\\r\\nCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0\\r\\nPragma: no-cache\\r\\ng: gzip\\r\\n\\r\\n\”,\”url\”:\”http://szsi-tech.com.cn/login/home/css/\”,\”highlight\”:[{\”name\”:\”raw_request_header\”,\”index\”:[11,46]}],\”response_content\”:\”<!DOCTYPE html PUBLIC \\\”-//W3C//DTD XHTML 1.0 Strict//EN\\\” \\\”http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd\\\”>\\r\\n<html xmlns=\\\”http://www.w3.org/1999/xhtml\\\”>\\r\\n<head>\\r\\n<title>系統(tǒng)發(fā)生錯誤</title>\\r\\n<meta http-equiv=\\\”content-type\\\” content=\\\”text/html;charset=utf-8\\\”/>\\r\\n<meta name=\\\”Generator\\\” content=\\\”EditPlus\\\”/>\\r\\n<style>\\r\\nbody{\\r\\n\\tfont-family: \’Microsoft Yahei\’, Verdana, arial, sans-serif;\\r\\n\\tfont-size:14px;\\r\\n}\\r\\na{text-decoration:none;color:#174B73;}\\r\\na:hover{ text-decoration:none;color:#FF6600;}\\r\\nh2{\\r\\n\\tborder-bottom:1px solid #DDD;\\r\\n\\tpadding:8px 0;\\r\\n font-size:25px;\\r\\n}\\r\\n.title{\\r\\n\\tmargin:4px 0;\\r\\n\\tcolor:#F60;\\r\\n\\tfont-weight:bold;\\r\\n}\\r\\n.message,#trace{\\r\\n\\tpadding:1em;\\r\\n\\tborder:solid 1px #000;\\r\\n\\tmargin:10px 0;\\r\\n\\tbackground:#FFD;\\r\\n\\tline-height:150%;\\r\\n}\\r\\n.message{\\r\\n\\tbackground:#FFD;\\r\\n\\tcolor:#2E2E2E;\\r\\n\\t\\tborder:1px solid #E0E0E0;\\r\\n}\\r\\n#trace{\\r\\n\\tbackground:#E7F7FF;\\r\\n\\tborder:1px solid #E0E0E0;\\r\\n\\tcolor:#535353;\\r\\n}\\r\\n.notice{\\r\\n padding:10px;\\r\\n\\tmargin:5px;\\r\\n\\tcolor:#666;\\r\\n\\tbackground:#FCFCFC;\\r\\n\\tborder:1px solid #E0E0E0;\\r\\n}\\r\\n.red{\\r\\n\\tcolor:red;\\r\\n\\tfont-weight:bold;\\r\\n}\\r\\n</style>\\r\\n</head>\\r\\n<body>\\r\\n<div class=\\\”notice\\\”>\\r\\n<h2>系統(tǒng)發(fā)生錯誤 </h2>\\r\\n<div >您可以選擇 [ <A HREF=\\\”/login/index.php/home\’\\\”><svg onload=alert(0xf62d8b)>/css/\\\”>重試</A> ] [ <A HREF=\\\”javascript:history.back()\\\”>返回</A> ] 或者 [ <A HREF=\\\”/login\\\”>回到首頁</A> ]</div>\\r\\n<p class=\\\”title\\\”>[ 錯誤信息 ]</p>\\r\\n<p class=\\\”message\\\”>無法加載模塊home\’\\\”><svg onload=alert(0xf62d8b)></p>\\r\\n</div>\\r\\n<div align=\\\”center\\\” style=\\\”color:#FF3300;margin:7px;font-family:Verdana\\\”> ThinkPHP <sup style=\’color:gray;font-size:12px\’>2.0</sup><span style=\’color:silver\’> { Fast & Simple OOP PHP Framework } — [ WE CAN DO IT JUST THINK IT ]</span>\\r\\n</div>\\r\\n</body>\\r\\n</html>\\r\\n\”,\”xss type\”:\”GET_XSS\”,\”request_content\”:\”\”,\”param\”:\”<uri>\”,\”payload\”:\”\’\\\”><svg onload=alert(0xf62d8b)>\”,\”harm_level\”:3,\”page_name\”:\”http://szsi-tech.com.cn/login/home/css/\”,\”plugin_type\”:\”detect\”,\”location\”:\”URL\”,\”cvss_level\”:\”CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L\”,\”place\”:\”uri\”,\”vuln_url\”:\”http://szsi-tech.com.cn/login/home/css/\”,\”recheckid\”:\”5f574189dd4be24edae668a5\”,\”desc\”:\”跨站腳本攻擊\”}漏洞等級:高危發(fā)現(xiàn)時間: 16:34:11.0驗(yàn)證時間: 09:56:15.0通報時間: 15:22:24漏洞危害:web應(yīng)用程序未對用戶輸入的字符過濾或合法性校驗(yàn),允許用戶輸入javascript、vbscript語句,得到客戶端機(jī)器的cookie等信息。修復(fù)建議:<p><strong>HTML/XML頁面輸出規(guī)范:</strong></p><pre class="brush:bash;toolbar:false">1,在HTML/XML中顯示“用戶可控數(shù)據(jù)”前,應(yīng)該進(jìn)行html escape轉(zhuǎn)義。 2,在javascript內(nèi)容中輸出的“用戶可控數(shù)據(jù)”,需要做javascript escape轉(zhuǎn)義。 3,對輸出到富文本中的“用戶可控數(shù)據(jù)”,做富文本安全過濾(允許用戶輸出HTML的情況)。 4,輸出在url中的數(shù)據(jù),做url安全輸出。</pre>驗(yàn)證備注:確認(rèn)存在跨站腳本漏洞驗(yàn)證截圖:以下url存在相同漏洞:1、http://szsi-tech.com.cn/login/home/img/2、http://szsi-tech.com.cn/login/home/js/5.術(shù)語附錄本章節(jié)主要對在報告中出現(xiàn)的術(shù)語或名詞進(jìn)行詳細(xì)說明和解釋。根據(jù)漏洞可能造成的危害,將漏洞分為以下3個等級:5.1高危漏洞指容易造成系統(tǒng)被控制或重要數(shù)據(jù)泄露的漏洞。包括:SQL注入漏洞、XSS跨站腳本漏洞、頁面存在源代碼泄露、網(wǎng)站存在備份文件、網(wǎng)站存在包含SVN信息的文件、網(wǎng)站存在Resin任意文件讀取漏洞。5.2中危漏洞指可能導(dǎo)致網(wǎng)站被黑或者被搜索引擎降權(quán)的漏洞。包括:IIS實(shí)例文件漏洞、包含敏感URL等。5.3低危漏洞指存在敏感信息或敏感URL等為攻擊者入侵提供情報信息的漏洞。包括:包含敏感信息URL、包含敏感URL、存在后臺登錄地址等。
問:上面的內(nèi)容是客戶發(fā)過來de
答:您好,上面發(fā)詳細(xì)信息都是程序方面安全問題,需要聯(lián)系程序開發(fā)修復(fù),您也可以在主機(jī)控制面板-百度云加速開啟后再試,百度云加速可以防御部分漏洞攻擊,非常感謝您長期對我司的支持!
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享網(wǎng)絡(luò)內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。郵箱:3140448839@qq.com。本站原創(chuàng)內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明出處:
三五互聯(lián)知識庫 »
客戶檢測網(wǎng)站列出一下問題,域名和截圖如下
