网站漏洞检测工具摘要.pdfVIP

⽹站漏洞检测⼯具 漏洞检测⼯具⽤语说明 ⼀，⾼危漏洞 　　⾼危漏洞包括SQL注⼊漏洞、XSS跨站脚本漏洞、页⾯存在源代码泄露、⽹站存 在备份⽂件、⽹站存在包含SVN 息的⽂件、⽹站存在Resin任意⽂件读取漏洞。 　　SQL注⼊漏洞：⽹站程序忽略了对输⼊字符串中包含的SQL语句的检查，使得包 含的SQL语句被数据库误认为是合法的SQL指令⽽运⾏，导致数据库中各种敏感数据 被盗取、更改或删除。 　　XSS跨站脚本漏洞：⽹站程序忽略了对输⼊字符串中特殊字符与字符串 （如 scriptiframeonload ）的检查，使得攻击者可以欺骗⽤户访问包含恶意JavaScript代 码的页⾯，使得恶意代码在⽤户浏览器中执⾏，从⽽导致⽬标⽤户权限被盗取或数据 被篡改。 　　页⾯存在源代码泄露：页⾯存在源代码泄露,可能导致⽹站服务的关键逻辑、配置 的账号密码泄露，攻击者利⽤该 息可以更容易得到⽹站权限，导致⽹站被⿊。 　　⽹站存在备份⽂ ：⽹站存在备份⽂件，例如数据库备份⽂件、⽹站源码备份⽂ 件等，攻击者利⽤该 息可以更容易得到⽹站权限，导致⽹站被⿊。 　　⽹站存在包含SVN信息的⽂ ：⽹站存在包含SVN 息的⽂件，这是⽹站源码的 版本控制器私有⽂件，⾥⾯包含SVN服务的地址、提交的私有⽂件名、SVN⽤户名等 息，该 息有助于攻击者更全⾯了解⽹站的架构，为攻击者⼊侵⽹站提供帮助。 　　⽹站存在Resin任意⽂ 读取漏洞：安装某些版本Resin服务器的⽹站存在可读取 任意⽂件的漏洞，攻击者利⽤该漏洞可以读取⽹站服务器的任意⽂件内容，导致⽹站 被⿊。 ⼆，中危漏洞 　　中危漏洞包括⽹站存在⽬录浏览漏洞、⽹站存在PHPIN O⽂件、⽹站存在服务器 环境探针⽂件、⽹站存在⽇志 息⽂件、⽹站存在JSP⽰例⽂件。 　　⽹站存在⽬录浏览漏洞：⽹站存在配置缺陷，存在⽬录可浏览漏洞，这会导致⽹ 站很多隐私⽂件与⽬录泄露，⽐如数据库备份⽂件、配置⽂件等，攻击者利⽤该 息 可以更容易得到⽹站权限，导致⽹站被⿊。 　　⽹站存在PHPINFO⽂ ：⽹站存在PHPIN O⽂件，这个是PHP特有的 息⽂ 件，会导致⽹站的⼤量架构 息泄露，该 息有助于攻击者更全⾯了解⽹站的架构， 为攻击者⼊侵⽹站提供帮助。 　　⽹站存在服务器环境探针⽂ ：⽹站存在服务器环境探针⽂件，该⽂件会导致⽹ 站的⼤量架构 息泄露，该 息有助于攻击者更全⾯了解⽹站的架构，为攻击者⼊侵 ⽹站提供帮助。 　　⽹站存在⽇志信息⽂ ：⽹站存在⽇志 息⽂件，该⽂件包含的错误 息会导致 ⽹站的⼀些架构 息泄露，该 息有助于攻击者更全⾯了解⽹站的架构，为攻击者⼊ 侵⽹站提供帮助。 　　⽹站存在JSP⽰例⽂ ：⽹站存在JSP⽰例⽂件，该⽂件的弱⼜令会导致⽹站的⼤ 量架构 息泄露，该 息有助于攻击者更全⾯了解⽹站的架构，为攻击者⼊侵⽹站提 供帮助。 三、低危漏洞 　　低危漏洞包括页⾯上存在⽹站程序的调试 息、⽹站存在后台登录地址、⽹站存 在服务端统计 息⽂件、⽹站存在敏感⽬录。 　　页⾯上存在⽹站程序的调试信息：页⾯上存在数据库 息，例如数据库名、数据 库管理员名，该 息有助于攻击者更全⾯了解⽹站的架构，为攻击者⼊侵⽹站提供帮 助。 　　⽹站存在后台登录地址：⽹站存在后台登录地址，攻击者经常使⽤这个地址进⾏ ⽹站的后台登陆，⽐如弱密码、表单绕过、暴⼒破解等，从⽽得到⽹站的权限。 　　⽹站存在服务端统计信息⽂ ：⽹站存在服务端统计 息⽂件，该⽂件会导致⽹ 站的⼀些架构 息泄露，该 息有助于攻击者更全⾯了解⽹站的架构，为攻击者⼊侵 ⽹站提供帮助。 　　⽹站存在敏感⽬录：⽹站存在敏感⽬录，例如 /upload /database /bak ，该 息有 助于攻击者更全⾯了解⽹站的架构，为攻击者⼊侵⽹站提供帮助。 漏洞的危害有哪些 　　SQL注⼊漏洞的危害不仅体现在数据库层⾯，还有可能危及承载数据库的操作系 统；如果SQL注⼊被⽤来挂马，还可能⽤来传播恶意软件等，这些危害包括但不限 于： 　　 • 数据库 息泄漏：数据库中存储的⽤户隐私 息泄露。 　　 • ⽹页篡改：通过操作数据库对特定⽹页进⾏篡改。 　　• ⽹站被挂马，传播恶意软件：修改数据库⼀些字段的值，嵌⼊⽹马链接，进⾏ 挂马攻击。 　　 • 数据库被恶意操作：数据库服务器被攻击，数据库的系统管理员帐户被窜改。