文档介绍：漏洞整改报告
按照国家《中华人民##国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定,全面落实互联网安全保护制度和安全保护技术措施,对、信息安全进行了严格漏洞安全漏洞整改报告
按照国家《中华人民##国计算机信息系统安全保护条例》、《计算机信息网络国际联网安全保护管理办法》、《互联网安全保护技术措施规定》等有关法律法规规定,全面落实互联网安全保护制度和安全保护技术措施,对、信息安全进行了严格漏洞安全检查工作.
本次安全检查是完全站在攻击者角度,模拟黑客可能使用的攻击技术和漏洞发现技术进行的安全性测试,通过结合多方面的攻击技术进行测试,发现本校个别系统存在比较明显的可利用的安全漏洞,:
nWPUIedu
高危漏洞0个页面严重漏洞0个页面警告漏洞0个页面轻微漏洞0个页面同主机安全正常虚假或欺诈正常挂马或恶意正常恶意篡改正常敏感内容正常安全状况安全
■
漏洞类型:
SQL注入/XPath
请求方式:
POST
影响页面:
■
处理方案:
,并在程序执行过程中对常见的GET、POST、Cookie等提交方式进行过滤处理,拦截可能存在的SQL注入攻击.
漏洞类型:
SQL注入/XPath、XSS跨站脚本攻击
1
请求方式:
POST
影响页面:
■
处理方案:
此已经新做,新版正测试中,马上投入使用.
漏洞类型:
XSS跨站脚本攻击
漏洞证据:
vscript>alertv42873>v/script>
影响页面:
://:80/jp200508/?titl
:8
0/jp200508
e=%CA%FD%D7%D6%B5%E7%C2%B7%D3%EB%C
A%FD%D7%D6%B5%E7%D7%D3%BC%BC%CA%F
5%BE%AB%C6%B7%BF%CE%B3%CC%C9%EA%B1
%A8%CE%C4%BC%FE_%D0%BB%CB%C9%D4%C6
"><script>alert<42873></script>
处理方案:
方案:站在安全的角度看,必须过滤用户输入的危险数据,默认用户所有的输入数据都是不安全的,根据自身程序做代码修改.
方案二:使用防护脚本.〔附代码〕
<%
'Codebysafe3
OnErrorResumeNext
if <>"" then call
,"'|v[A>]*?>|A\+/vv8|9>|\bvand|or>\b.+?v>|v|=|\bin\b|\blike\b>l/\*.+?\*/|v\s*script\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|vSELECT|DELETE>.+?FROM|vCREATE|ALTER|DROP|TRUNCA