freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

xx投資集團(tuán)-網(wǎng)站滲透測試報(bào)告(編輯修改稿)

2025-04-23 23:57 本頁面
 

【文章內(nèi)容簡介】 全工程師可對門戶網(wǎng)站發(fā)起內(nèi)部攻擊,進(jìn)而可完全入侵門戶網(wǎng)站。 因時間關(guān)系,以及昨天交流滲透結(jié)果后,管理員關(guān)閉黨群工作信息管理系統(tǒng),無法進(jìn)一步測試和驗(yàn)證。. 安全漏洞列表下表展示了本次測試發(fā)現(xiàn)的安全漏洞與相應(yīng)的風(fēng)險(xiǎn):應(yīng)用系統(tǒng)利用漏洞威脅來源風(fēng)險(xiǎn)等級風(fēng)險(xiǎn)描述門戶網(wǎng)站Apache版本低外部黑客高可遠(yuǎn)程執(zhí)行代碼,直接得到管理員權(quán)限SQL注入漏洞外部黑客高惡意用戶可以通過注入JavaScript、VBScript、ActiveX、HTML或者Flash的方式欺騙用戶,可以收集Cookie等相關(guān)數(shù)據(jù)并冒充其他用戶,當(dāng)然也可以修改當(dāng)前用戶信息??缯灸_本編制外部黑客高惡意用戶可以通過注入JavaScript、VBScript、ActiveX、HTML或者Flash的方式欺騙用戶,并收集Cookie等相關(guān)數(shù)據(jù)并冒充其他用戶。通過精心構(gòu)造的惡意代碼,甚至可以獲取系統(tǒng)的管理權(quán)限,或者讓訪問者訪問非法網(wǎng)站或下載惡意木馬。敏感信息泄漏外部黑客中泄漏敏感信息郵件系統(tǒng)跨站點(diǎn)請求偽造外部黑客中可能用于模仿合法用戶,從而使黑客能夠以該用戶身份查看或變更用戶記錄以及執(zhí)行事務(wù)。已解密的登錄請求外部黑客中可能會竊取諸如用戶名和密碼等未經(jīng)加密即發(fā)送了的用戶登錄信息未設(shè)置驗(yàn)證碼機(jī)制外部黑客中惡意攻擊者可以使用暴力破解的手段猜解帳號和密碼第3章 測試結(jié)果. 門戶網(wǎng)站. Apache版本低n 測試過程探測發(fā)現(xiàn)Apache的版本低,為Apache d ((Win32)n 風(fēng)險(xiǎn)分析該版本存在一個mod_isapi Dangling Pointer漏洞,可遠(yuǎn)程執(zhí)行代碼,直接得到管理員權(quán)限n 風(fēng)險(xiǎn)等級高n 影響URL無n 解決方法升級Apache版本。. SQL注入漏洞n 測試過程訪問如下地址:從錯誤信息判斷,數(shù)據(jù)庫為微軟的SQLServer數(shù)據(jù)庫,由此判斷該頁面存在SQL注入漏洞n 風(fēng)險(xiǎn)分析攻擊者可以通過構(gòu)造特殊URL的手段,利用SQL注入漏洞從數(shù)據(jù)庫中獲取敏感數(shù)據(jù)、修改數(shù)據(jù)庫數(shù)據(jù)(插入/更新/刪除) 、執(zhí)行數(shù)據(jù)庫管理操作(如關(guān)閉數(shù)據(jù)庫管理系統(tǒng))、恢復(fù)存在于數(shù)據(jù)庫文件系統(tǒng)中的指定文件內(nèi)容,在某些情況下能執(zhí)行操作系統(tǒng)命令。n 風(fēng)險(xiǎn)等級高n 影響URLn 解決方法對用戶輸入的數(shù)據(jù)進(jìn)行全面安全檢查或過濾,尤其注意檢查是否包含HTML特殊字符。這些檢查或過濾必須在服務(wù)器端完成,建議過濾的常見危險(xiǎn)字符如下:216。 |(豎線符號)216。 amp。 (amp。 符號)216。 。(分號)216。 $(美元符號)216。 %(百分比符號)216。 @(at 符號)216。 39。(單引號
點(diǎn)擊復(fù)制文檔內(nèi)容
環(huán)評公示相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖片鄂ICP備17016276號-1