网站安全漏洞检查报告_华东庄园.docVIP

. . Word格式 华东庄园 网站安全漏洞检查报告 目录 TOC \o 1-3 1 工作描述 3 1.1 漏洞统计 3 1.2 安全测试时间 3 2 安全评估方式 4 3 安全评估的必要性 4 4 检查结果 4 5 网站安全整改方案 5 6 安全评估方法 5 6.1 弱口令检测 5 6.1.1 危害 5 6.1.2 检测内容 5 6.2 Web注入漏洞 6 6.2.1 危害 6 6.2.2 检测内容 6 6.3 文件包含漏洞 6 6.3.1 危害 7 6.3.2 检测内容 7 6.4 逻辑漏洞 7 6.4.1 危害 7 6.4.2 检测内容 7 6.5 前端漏洞 8 6.5.1 检测内容 8 6.6 错误配置 8 6.6.1 危害 8 6.6.2 检测内容 8 6.7 信息泄露 8 6.7.1 危害 8 6.7.2 检测内容 8 7 安全隐患 8 附件1 漏洞详情 10 附件2 产品介绍 10 WAF 10 WAF防护简述 10 安骑士 12 安骑士防护简述 12 安全管家 14 工作描述 本次项目的安全评估对象为： http:// 安全评估是可以帮助用户对目前自己的网络、系统、应用的缺陷有相对直观的认识和了解。以第三方角度对用户网络安全性进行检查，可以让用户了解从外部网络漏洞可以被利用的情况，安全顾问通过解释所用工具在探查过程中所得到的结果，并把得到的结果与已有的安全措施进行比对。 漏洞统计 网站地址 高危 中危 低危 提示 总计 0 13 10 2 25 总计 0 13 10 2 25 威胁定级：中风险 安全测试时间 开始时间：2018-02-08 17:24:38 结束时间：2018-02-09 00:36:58 安全评估方式 本次安全扫描是站在攻击者的角度，从公网对目标系统通过安全扫描系统进行扫描。扫描系统将自动对目标进行端口、服务、应用等层面的安全漏洞检测。 为避免自动化扫描带来的误报，在扫描完成后，安全技术顾问会对扫描结果进行分析处理，排除误报，综合分析漏洞的影响，将最终分析结果汇报给客户。 安全评估的必要性 安全评估利用网络安全扫描器、专用安全测试工具和富有经验的安全工程师的人工经验对授权测试环境中的核心服务器及重要的网络设备，包括服务器、防火墙等进行非破坏性质的模拟黑客攻击，目的是侵入系统并获取机密信息并将入侵的过程和细节产生报告给用户。 安全评估和工具扫描可以很好的互相补充。工具扫描具有很好的效率和速度，但是存在一定的误报率和漏报率，并且不能发现高层次、复杂、并且相互关联的安全问题；安全评估需要投入的人力资源较大、对测试者的专业技能要求很高（安全评估报告的价值直接依赖于测试者的专业技能），但是非常准确，可以发现逻辑性更强、更深层次的弱点。 此次安全评估的范围： 序号 域名(IP) 备注 01 华东庄园 02 03 04 检查结果 本次网站安全检查是完全站在攻击者角度，模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试，通过结合多方面的攻击技术进行测试，发现本网站系统存在比较明显的、可利用的安全漏洞，网站安全等级为中风险，针对已存在漏洞的系统需要进行重点加固。 要求7个工作日内整改完毕。 网站安全整改方案 安全评估方法 弱口令检测 ? 就是说由常用数字、字母、字符等组合成的，容易被别人通过简单及平常的思维方式就能猜到的密码，利用弱口令结合计算机系统等漏洞可以做到入侵的事半功倍的效果。 危害 利用弱口令可以进入后台修改资料，比如考试成绩，电费水费等。财务报销，比如企业的财务申请。窃取企业内部资料。例如OA平台中的文件等。获取用户信息。比如通过后台登陆某个用户的账号，把里面的资金转出。实时监控，监控别人的一举一动，甚至可以看到“潜规则”。 检测内容 FTP、SSH、RDP、SMB、SMTP、POP3、IMAP MYSQL、MSSQL、MongoDB、MemCache、 Redis、Oracle、Subversion、LDAP、PPTP、VPN、HTTP基础登录、WebFrom登录表单。 Web注入漏洞 WEB漏洞通常是指网站程序上的漏洞，可能是由于代码编写者在编写代码时考虑不周全等原因而造成的漏洞，常见的WEB漏洞有Sql注入、Xss漏洞、上传漏洞等。 危害 如果网站存在WEB漏洞并被黑客攻击者利用，攻击者可以轻易控制整个网站，并可进一步提权获取网站服务器权限，控制整个服务器。这些危害包括但不局限于： 1) 数据库信息泄漏：数据库中存放的用户的隐私信息的泄露； 2) 网页篡改：通过操作数据库对特定网页进行篡改； 3) 网站被挂马，传播恶意软件：修改数据库一些字段的值，嵌入网马链接，进行挂马