文档介绍：--------------------------校验:_____________-----------------------日期:_____________网站漏洞整改报告网站漏洞整改报告按照国家《中华人民共和国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定,全面落实互联网安全保护制度和安全保护技术措施,对网站、信息安全进行了严格漏洞安全检查工作。本次网站安全检查是完全站在攻击者角度,模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试,通过结合多方面的攻击技术进行测试,发现本校个别网站系统存在比较明显的可利用的安全漏洞,针对已存在漏洞的系统需要进行重点加固。本次检查结果和处理方案如下:面严重漏洞0个页面警告漏洞0个页面轻微漏洞0个页面同主机网站安全正常虚假或欺诈网站正常挂马或恶意网站正常恶意篡改正常敏感内容正常安全状况安全漏洞类型:SQL注入/XPath请求方式:POST影响页面:处理方案:通过在Web应用程序中增加通用防注入程序来防止SQL注入攻击。通用SQL防注入程序通常在数据库连接文件中被引入,并在程序执行过程中对常见的GET、POST、Cookie等提交方式进行过滤处理,拦截可能存在的SQL注入攻击。漏洞类型:SQL注入/XPath、XSS跨站脚本攻击请求方式:POST影响页面:处理方案:此网站已经新做,新版正测试中,马上投入使用。jp2005/08漏洞类型:XSS跨站脚本攻击漏洞证据:<script>alert(42873)</script>影响页面:9%D4%C6"><script>alert(42873)</script>处理方案:方案一:站在安全的角度看,必须过滤用户输入的危险数据,默认用户所有的输入数据都是不安全的,根据自身网站程序做代码修改。方案二:使用防护脚本。(附代码)<%'Codebysafe3OnErrorResumeNext|\b(and|or)\b.+?(>|<|=|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)")functiontest(values,re)dimregexsetregex=newregexpIfIP=""Thenendifendifsetregex=nothingendfunctionfunctionstophacker(values,re)diml_get,l_get2,n_get,regex,IPforeachn_getinvaluesforeachl_getinvaluesl_get2=values(l_get)setregex=newregexpIfIP=""Thenendif00%;height:100%;background-color:white;color:green;font-weight:bold;border-bottom:5pxsolid#999;'><br>您的提交带有不合法参数,