行业应用安全评估报告：渗透测试与开源组件检查.pdfVIP

风险等级个数统计表

严重高危中危低危

0000

4.开源组件检查

4.1.开源组件检查范围

金格控件iSolutions_web_API-V3.1.0.268.jar组件存在安全问题，已修改并

更新Maven库。

公网系统风险

说明

严重直接获取业务服务器权限的以及获取重要数据的，包括但不限于

任意命令执行、上传Webshell、任意代码执行、SQL注入获得大量数据；

严重影响系统业务安全的逻辑，包括但不限于任意重置或更

改，大量获取用户认证信息的，越权，未

管理系统等；

可通过一定严重影响业务运行，可能给客户带来巨大损失的，如关键

业务操作可被Dos，登录接口可被撞库，业务系统可被轻易薅羊毛等；

当前阶段正在大规模应引起足够重视的安全等。

高危需要用户交互才能获取用户的，包常规型／反射

型XSS，关键业务操作的CSRF等；

任意文件、修改、覆盖、删除、；

绕过限制修改用户、个人信息、强制用户执行某些操作；

能够对目标系统带来危害的严重信息泄漏，敏感信息文件备份或源码

等（如密钥，数据看连接，SVN