freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

項(xiàng)目一網(wǎng)站系統(tǒng)滲透測(cè)試報(bào)告-資料下載頁(yè)

2025-04-14 05:01本頁(yè)面
  

【正文】 發(fā)現(xiàn)eweb腳本存在注入,通過(guò)這個(gè)漏洞我們添加一個(gè)名為antiwebeditor管理員,并登陸進(jìn)入后臺(tái),具體可以參見(jiàn)我們的截圖: 通過(guò)對(duì)eweb編輯器的研究發(fā)現(xiàn),可以通過(guò)其樣式管理,,見(jiàn)下圖:但是我們?cè)谏蟼鞯倪^(guò)程中eweb腳本出現(xiàn)了問(wèn)題,腳本有錯(cuò)誤不能上傳文件,通過(guò)我們跟eweb客服了解,該問(wèn)題是因?yàn)榉?wù)器上裝了kaspersky殺毒軟件,kaspersky對(duì)eweb低版本的腳本程序進(jìn)行查殺導(dǎo)致木馬文件不能上傳,但該漏洞問(wèn)題是存在的,通過(guò)修改木馬文件后綴,可以避開kaspersky測(cè)查殺程序,并最終上傳webshell成功。見(jiàn)下圖:此2個(gè)漏洞可能的安全危害都為:未授權(quán)用戶可能通過(guò)該漏洞獲取數(shù)據(jù)庫(kù)敏感資料,造成敏感信息泄漏,最終獲取網(wǎng)站后臺(tái),上傳WEBSHELL,控制網(wǎng)站。 針對(duì)此類型漏洞,應(yīng)盡量過(guò)慮各種輸入?yún)?shù),如上述2個(gè)漏洞,應(yīng)對(duì)“用戶名”或“密碼”,id這三個(gè)參數(shù)進(jìn)行過(guò)慮。并且由于客戶eweb編輯器文件本身存在安全漏洞,除非刪除該文件,暫時(shí)沒(méi)有更好解決方案。在使用MSSQL、MYSQL、Sybase和Oracle等常用數(shù)據(jù)庫(kù)的時(shí)候,只要存在SQL注射漏洞,就能夠通過(guò)這種漏洞對(duì)數(shù)據(jù)庫(kù)中的信息進(jìn)行挖掘,如果數(shù)據(jù)庫(kù)服務(wù)器設(shè)置不當(dāng)甚至可以導(dǎo)致數(shù)據(jù)庫(kù)服務(wù)器被入侵。通過(guò)利用已發(fā)現(xiàn)的SQL注射漏洞對(duì)服務(wù)器后臺(tái)數(shù)據(jù)庫(kù)進(jìn)行數(shù)據(jù)的挖掘,發(fā)現(xiàn)本后臺(tái)數(shù)據(jù)庫(kù)類型為Oracle數(shù)據(jù)庫(kù)。敏感數(shù)據(jù)泄漏。 由于數(shù)據(jù)庫(kù)挖掘使用的是SQL服務(wù)器合法的語(yǔ)句,所以需要根治漏洞的根源,加固所有的外部腳本,避免產(chǎn)生SQL注入漏洞。 四、分析結(jié)果總結(jié)通過(guò)XX公司通過(guò)這次測(cè)試可以看出,XXXX在網(wǎng)站安全上做了很多的工作,網(wǎng)站有防注入和篡改系統(tǒng),但是XXXX只關(guān)注了防注入,但是對(duì)于到系統(tǒng)層上的安全如apache tomcat 瀏覽任意web目錄漏洞并沒(méi)有進(jìn)行消除,并且雖然有防注入系統(tǒng)但是過(guò)濾并不是很嚴(yán)謹(jǐn),我們還是在jsp腳本上找到一個(gè)注入點(diǎn),從而可以達(dá)到爆庫(kù);另外這次能突破XXXX網(wǎng)站防護(hù)限制,并最終滲透測(cè)試成功,其中一個(gè)最主要原因,是因?yàn)閄XXX使用了一個(gè)第三方產(chǎn)品eweb編輯器,由于eweb編輯器后臺(tái)存在注入漏洞,使我們順利的在后臺(tái)添加了一個(gè)后臺(tái)管理員,成功的控制了后臺(tái),可以對(duì)網(wǎng)站進(jìn)行篡改設(shè)置是得到webshell。因此,通過(guò)本次滲透測(cè)試,我們?cè)u(píng)定XXXX網(wǎng)站://:8080的安全級(jí)別為“十分危險(xiǎn)”。19頁(yè) 共19頁(yè)
點(diǎn)擊復(fù)制文檔內(nèi)容
畢業(yè)設(shè)計(jì)相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖鄂ICP備17016276號(hào)-1