正文內(nèi)容

某網(wǎng)站系統(tǒng)滲透測試報告-資料下載頁

2025-04-14 04:41本頁面

　　

【正文】編輯器對其代碼進行分析，發(fā)現(xiàn)eweb腳本存在注入，通過這個漏洞我們添加一個名為antiwebeditor管理員，并登陸進入后臺，具體可以參見我們的截圖：通過對eweb編輯器的研究發(fā)現(xiàn)，可以通過其樣式管理，，見下圖：但是我們在上傳的過程中eweb腳本出現(xiàn)了問題，腳本有錯誤不能上傳文件，通過我們跟eweb客服了解，該問題是因為服務(wù)器上裝了kaspersky殺毒軟件，kaspersky對eweb低版本的腳本程序進行查殺導(dǎo)致木馬文件不能上傳，但該漏洞問題是存在的，通過修改木馬文件后綴，可以避開kaspersky測查殺程序，并最終上傳webshell成功。見下圖：此2個漏洞可能的安全危害都為：未授權(quán)用戶可能通過該漏洞獲取數(shù)據(jù)庫敏感資料，造成敏感信息泄漏，最終獲取網(wǎng)站后臺，上傳WEBSHELL，控制網(wǎng)站。針對此類型漏洞，應(yīng)盡量過慮各種輸入?yún)?shù)，如上述2個漏洞，應(yīng)對“用戶名”或“密碼”，id這三個參數(shù)進行過慮。并且由于客戶eweb編輯器文件本身存在安全漏洞，除非刪除該文件，暫時沒有更好解決方案。在使用MSSQL、MYSQL、Sybase和Oracle等常用數(shù)據(jù)庫的時候，只要存在SQL注射漏洞，就能夠通過這種漏洞對數(shù)據(jù)庫中的信息進行挖掘，如果數(shù)據(jù)庫服務(wù)器設(shè)置不當(dāng)甚至可以導(dǎo)致數(shù)據(jù)庫服務(wù)器被入侵。通過利用已發(fā)現(xiàn)的SQL注射漏洞對服務(wù)器后臺數(shù)據(jù)庫進行數(shù)據(jù)的挖掘，發(fā)現(xiàn)本后臺數(shù)據(jù)庫類型為Oracle數(shù)據(jù)庫。敏感數(shù)據(jù)泄漏。由于數(shù)據(jù)庫挖掘使用的是SQL服務(wù)器合法的語句，所以需要根治漏洞的根源，加固所有的外部腳本，避免產(chǎn)生SQL注入漏洞。四、分析結(jié)果總結(jié)通過XX公司通過這次測試可以看出，XXXX在網(wǎng)站安全上做了很多的工作，網(wǎng)站有防注入和篡改系統(tǒng)，但是XXXX只關(guān)注了防注入，但是對于到系統(tǒng)層上的安全如apache tomcat 瀏覽任意web目錄漏洞并沒有進行消除，并且雖然有防注入系統(tǒng)但是過濾并不是很嚴(yán)謹(jǐn)，我們還是在jsp腳本上找到一個注入點，從而可以達到爆庫；另外這次能突破XXXX網(wǎng)站防護限制，并最終滲透測試成功，其中一個最主要原因，是因為XXXX使用了一個第三方產(chǎn)品eweb編輯器，由于eweb編輯器后臺存在注入漏洞，使我們順利的在后臺添加了一個后臺管理員，成功的控制了后臺，可以對網(wǎng)站進行篡改設(shè)置是得到webshell。因此，通過本次滲透測試，我們評定XXXX網(wǎng)站://:8080的安全級別為“十分危險”。第18頁共18頁

點擊復(fù)制文檔內(nèi)容

環(huán)評公示相關(guān)推薦

酒店管理系統(tǒng)測試報告-資料下載頁

【總結(jié)】系統(tǒng)測試報告酒店管理系統(tǒng)軟件課程名稱：軟件驗證學(xué)院名稱：電子與信息工程學(xué)院專業(yè)：計算機科學(xué)與技術(shù)日期:2010年12月7日1、編寫目的：1　通過對測試結(jié)

2025-08-07 09:26

某集團客戶門戶測試報告-資料下載頁

【總結(jié)】1/36AILK-CMC技術(shù)文檔集團客戶門戶測試報告作者編寫時間2022-2-6文檔版本最后修改時間2022-2-15亞信聯(lián)創(chuàng)科技（中國）有限公司版權(quán)所有文檔中的全部內(nèi)容屬亞信科技（中國）有限公司所有，未經(jīng)允許，不可全部或部分發(fā)表、復(fù)制、使用于任何目的。2/36文檔修訂記錄日期修訂號修改描述作者2022-02-

2025-03-25 04:42

軟件測試報告-超市管理系統(tǒng)-資料下載頁

【總結(jié)】軟件測試分析報告項目名稱：超市后臺管理系統(tǒng)開發(fā)團隊：成　　員：　　　21引言....................................................................................................

2025-08-07 09:32

系統(tǒng)測試報告模板[絕對實用-資料下載頁

【總結(jié)】......XXX項目軟件測試報告編制：審核：批準(zhǔn)：文檔變更記錄版本編號修訂日期修訂內(nèi)容修訂人備注

2025-08-04 04:54

系統(tǒng)測試報告說明與模板-資料下載頁

【總結(jié)】系統(tǒng)測試報告引言目的為了盡可能的找出軟件的不足，提高軟件的質(zhì)量，促進軟件的成功驗收，專門制定了本大綱。其主要目的在于為所要進行的測試工作制定各種必要的準(zhǔn)則和規(guī)范，以及在有關(guān)方面協(xié)議的基礎(chǔ)上對測試工作進行合理組織與管理。術(shù)語本大綱所提及的術(shù)語，其定義遵照GB/T11457標(biāo)準(zhǔn)。參照標(biāo)準(zhǔn)●GB/T11457—1995軟件工程術(shù)語●GB8566—1995；

2025-03-23 12:02

圖書管理系統(tǒng)測試報告-資料下載頁

【總結(jié)】....圖書管理系統(tǒng)測試報告第五組2014年6月2日目錄1．引言 1 1 1 1 1 12．任務(wù)概述 2 2 2 2 23．計劃 2 2 3 3

2025-03-24 23:58

學(xué)生學(xué)籍管理系統(tǒng)測試報告-資料下載頁

【總結(jié)】學(xué)生學(xué)籍管理測試報告院系：數(shù)學(xué)計算機學(xué)院專業(yè)：計算機科學(xué)與技術(shù)（師）班級：（5）班組員：馬丹、馬強

2025-05-13 21:33

振動試驗系統(tǒng)測試報告-資料下載頁

【總結(jié)】振動試驗系統(tǒng)測試報告一、系統(tǒng)組成:BTH-1208LS數(shù)據(jù)采集卡、CT5210恒流適配器、傳感器：CT1005L（）、CT1010LC（）、CT1050LC（電荷靈敏度為505mV/g），DAQami數(shù)據(jù)采集應(yīng)用軟件二、系統(tǒng)參數(shù)設(shè)置：1、通道設(shè)置：如圖1所示，設(shè)置3個模擬輸入通道，其中AI0代表CT1005L，AI1代表CT1010LC，AI2代表CT1050LC。在圖表中

2025-03-25 02:36

xx公司erp項目系統(tǒng)測試報告-資料下載頁

【總結(jié)】X公司ERP項目系統(tǒng)測試報告文檔作者: 創(chuàng)建日期: 確認(rèn)日期: 控制編碼: 當(dāng)前版本: 審批簽字:X公司項目經(jīng)理：A公司項目經(jīng)理：拷貝數(shù)量:文檔控制更改記錄DateAuthorTestModulesVer

2025-03-27 23:54

某公司erp項目系統(tǒng)測試報告-資料下載頁

2025-03-26 01:46

酒店wcdma室內(nèi)覆蓋系統(tǒng)測試報告-資料下載頁

【總結(jié)】第1頁共15頁XX8酒店室內(nèi)分布優(yōu)化報告西安XX網(wǎng)優(yōu)中心20xx-01-05

2025-05-31 14:11

機房環(huán)境監(jiān)控系統(tǒng)測試報告(全)-資料下載頁

【總結(jié)】泰州日報社機房環(huán)境監(jiān)控系統(tǒng)測試報告（全）序號項目驗收內(nèi)容驗收方法驗收結(jié)果1UPS電源監(jiān)控檢查UPS與監(jiān)控主機所采集的參數(shù)、狀態(tài)、報警量是否正確逐項查看各參數(shù)參數(shù)顯示準(zhǔn)確□不準(zhǔn)確□狀態(tài)顯示準(zhǔn)確□不準(zhǔn)確□曲線準(zhǔn)確□不準(zhǔn)確□2電量儀

2025-03-25 04:10

軟件系統(tǒng)測試報告實用版資料-資料下載頁

【總結(jié)】軟件系統(tǒng)測試報告實用版2022年06月版本修訂記錄版本標(biāo)識注釋作者日期初始版本xx20xx/xx測試報告I目錄1引言......................

2025-03-26 04:23

教室管理系統(tǒng)軟件測試報告-資料下載頁

【總結(jié)】教室管理系統(tǒng)軟件測試報告小組：二傻小組單位：09網(wǎng)絡(luò)成員：劉瑩皓黃嘉彬2021年4月15日2目錄一、引言..........................................3二、任務(wù)概述...........

2024-12-15 23:06

學(xué)生公寓管理系統(tǒng)測試報告-資料下載頁

【總結(jié)】一、引言本文檔是在項目具體代碼完成過程中，項目團隊主要負(fù)責(zé)測試的人員記錄在測試過程中發(fā)現(xiàn)的問題以及對于問題改進的建議。本文檔將供本系統(tǒng)的開發(fā)人員，維護人員查閱及使用。：“學(xué)生公寓管理系統(tǒng)”b．該系統(tǒng)開發(fā)者：本小組全體人員。：高校公寓管理中心d

2024-12-15 13:56