freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

某網(wǎng)站系統(tǒng)滲透測(cè)試報(bào)告-資料下載頁

2025-04-14 04:41本頁面
  

【正文】 編輯器對(duì)其代碼進(jìn)行分析,發(fā)現(xiàn)eweb腳本存在注入,通過這個(gè)漏洞我們添加一個(gè)名為antiwebeditor管理員,并登陸進(jìn)入后臺(tái),具體可以參見我們的截圖: 通過對(duì)eweb編輯器的研究發(fā)現(xiàn),可以通過其樣式管理,,見下圖:但是我們?cè)谏蟼鞯倪^程中eweb腳本出現(xiàn)了問題,腳本有錯(cuò)誤不能上傳文件,通過我們跟eweb客服了解,該問題是因?yàn)榉?wù)器上裝了kaspersky殺毒軟件,kaspersky對(duì)eweb低版本的腳本程序進(jìn)行查殺導(dǎo)致木馬文件不能上傳,但該漏洞問題是存在的,通過修改木馬文件后綴,可以避開kaspersky測(cè)查殺程序,并最終上傳webshell成功。見下圖:此2個(gè)漏洞可能的安全危害都為:未授權(quán)用戶可能通過該漏洞獲取數(shù)據(jù)庫敏感資料,造成敏感信息泄漏,最終獲取網(wǎng)站后臺(tái),上傳WEBSHELL,控制網(wǎng)站。 針對(duì)此類型漏洞,應(yīng)盡量過慮各種輸入?yún)?shù),如上述2個(gè)漏洞,應(yīng)對(duì)“用戶名”或“密碼”,id這三個(gè)參數(shù)進(jìn)行過慮。并且由于客戶eweb編輯器文件本身存在安全漏洞,除非刪除該文件,暫時(shí)沒有更好解決方案。在使用MSSQL、MYSQL、Sybase和Oracle等常用數(shù)據(jù)庫的時(shí)候,只要存在SQL注射漏洞,就能夠通過這種漏洞對(duì)數(shù)據(jù)庫中的信息進(jìn)行挖掘,如果數(shù)據(jù)庫服務(wù)器設(shè)置不當(dāng)甚至可以導(dǎo)致數(shù)據(jù)庫服務(wù)器被入侵。通過利用已發(fā)現(xiàn)的SQL注射漏洞對(duì)服務(wù)器后臺(tái)數(shù)據(jù)庫進(jìn)行數(shù)據(jù)的挖掘,發(fā)現(xiàn)本后臺(tái)數(shù)據(jù)庫類型為Oracle數(shù)據(jù)庫。敏感數(shù)據(jù)泄漏。 由于數(shù)據(jù)庫挖掘使用的是SQL服務(wù)器合法的語句,所以需要根治漏洞的根源,加固所有的外部腳本,避免產(chǎn)生SQL注入漏洞。 四、分析結(jié)果總結(jié)通過XX公司通過這次測(cè)試可以看出,XXXX在網(wǎng)站安全上做了很多的工作,網(wǎng)站有防注入和篡改系統(tǒng),但是XXXX只關(guān)注了防注入,但是對(duì)于到系統(tǒng)層上的安全如apache tomcat 瀏覽任意web目錄漏洞并沒有進(jìn)行消除,并且雖然有防注入系統(tǒng)但是過濾并不是很嚴(yán)謹(jǐn),我們還是在jsp腳本上找到一個(gè)注入點(diǎn),從而可以達(dá)到爆庫;另外這次能突破XXXX網(wǎng)站防護(hù)限制,并最終滲透測(cè)試成功,其中一個(gè)最主要原因,是因?yàn)閄XXX使用了一個(gè)第三方產(chǎn)品eweb編輯器,由于eweb編輯器后臺(tái)存在注入漏洞,使我們順利的在后臺(tái)添加了一個(gè)后臺(tái)管理員,成功的控制了后臺(tái),可以對(duì)網(wǎng)站進(jìn)行篡改設(shè)置是得到webshell。因此,通過本次滲透測(cè)試,我們?cè)u(píng)定XXXX網(wǎng)站://:8080的安全級(jí)別為“十分危險(xiǎn)”。第18頁 共18頁
點(diǎn)擊復(fù)制文檔內(nèi)容
環(huán)評(píng)公示相關(guān)推薦
文庫吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1