網(wǎng)站漏洞類型說明

1、高危漏洞
高危漏洞包括:SQL注入漏洞、XSS跨站腳本漏洞、頁面存在源代碼泄露、網(wǎng)站存在備份文件、網(wǎng)站存在包含SVN信息的文件、網(wǎng)站存在Resin任意文件讀取漏洞。
SQL注入漏洞:網(wǎng)站程序忽略了對輸入字符串中包含的SQL語句的檢查,使得包含的SQL語句被數(shù)據(jù)庫誤認(rèn)為是合法的SQL指令而運(yùn)行,導(dǎo)致數(shù)據(jù)庫中各種敏感數(shù)據(jù)被盜取、更改或刪除。
XSS跨站腳本漏洞:網(wǎng)站程序忽略了對輸入字符串中特殊字符與字符串(如<>'"<script><iframe>onload)的檢查,使得攻擊者可以欺騙用戶訪問包含惡意JavaScript代碼的頁面,使得惡意代碼在用戶瀏覽器中執(zhí)行,從而導(dǎo)致目標(biāo)用戶權(quán)限被盜取或數(shù)據(jù)被篡改。
頁面存在源代碼泄露:頁面存在源代碼泄露,可能導(dǎo)致網(wǎng)站服務(wù)的關(guān)鍵邏輯、配置的賬號(hào)密碼泄露,攻擊者利用該信息可以更容易得到網(wǎng)站權(quán)限,導(dǎo)致網(wǎng)站被黑。
網(wǎng)站存在備份文件:網(wǎng)站存在備份文件,例如數(shù)據(jù)庫備份文件、網(wǎng)站源碼備份文件等,攻擊者利用該信息可以更容易得到網(wǎng)站權(quán)限,導(dǎo)致網(wǎng)站被黑。
網(wǎng)站存在包含SVN信息的文件:網(wǎng)站存在包含SVN信息的文件,這是網(wǎng)站源碼的版本控制器私有文件,里面包含SVN服務(wù)的地址、提交的私有文件名、SVN用戶名等信息,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu),為攻擊者入侵網(wǎng)站提供幫助。
網(wǎng)站存在Resin任意文件讀取漏洞:安裝某些版本Resin服務(wù)器的網(wǎng)站存在可讀取任意文件的漏洞,攻擊者利用該漏洞可以讀取網(wǎng)站服務(wù)器的任意文件內(nèi)容,導(dǎo)致網(wǎng)站被黑。
2、中危漏洞
中危漏洞包括:網(wǎng)站存在目錄瀏覽漏洞、網(wǎng)站存在PHPINFO文件、網(wǎng)站存在服務(wù)器環(huán)境探針文件、網(wǎng)站存在日志信息文件、網(wǎng)站存在JSP示例文件。
網(wǎng)站存在目錄瀏覽漏洞:網(wǎng)站存在配置缺陷,存在目錄可瀏覽漏洞,這會(huì)導(dǎo)致網(wǎng)站很多隱私文件與目錄泄露,比如數(shù)據(jù)庫備份文件、配置文件等,攻擊者利用該信息可以更容易得到網(wǎng)站權(quán)限,導(dǎo)致網(wǎng)站被黑。
網(wǎng)站存在PHPINFO文件:網(wǎng)站存在PHPINFO文件,這個(gè)是PHP特有的信息文件,會(huì)導(dǎo)致網(wǎng)站的大量架構(gòu)信息泄露,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu),為攻擊者入侵網(wǎng)站提供幫助。
網(wǎng)站存在服務(wù)器環(huán)境探針文件:網(wǎng)站存在服務(wù)器環(huán)境探針文件,該文件會(huì)導(dǎo)致網(wǎng)站的大量架構(gòu)信息泄露,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu),為攻擊者入侵網(wǎng)站提供幫助。
網(wǎng)站存在日志信息文件:網(wǎng)站存在日志信息文件,該文件包含的錯(cuò)誤信息會(huì)導(dǎo)致網(wǎng)站的一些架構(gòu)信息泄露,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu),為攻擊者入侵網(wǎng)站提供幫助。
網(wǎng)站存在JSP示例文件:網(wǎng)站存在JSP示例文件,該文件的弱口令會(huì)導(dǎo)致網(wǎng)站的大量架構(gòu)信息泄露,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu),為攻擊者入侵網(wǎng)站提供幫助。
3、低危漏洞
低危漏洞包括:頁面上存在網(wǎng)站程序的調(diào)試信息、網(wǎng)站存在后臺(tái)登錄地址、網(wǎng)站存在服務(wù)端統(tǒng)計(jì)信息文件、網(wǎng)站存在敏感目錄。
頁面上存在網(wǎng)站程序的調(diào)試信息:頁面上存在數(shù)據(jù)庫信息,例如數(shù)據(jù)庫名、數(shù)據(jù)庫管理員名,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu),為攻擊者入侵網(wǎng)站提供幫助。
網(wǎng)站存在后臺(tái)登錄地址:網(wǎng)站存在后臺(tái)登錄地址,攻擊者經(jīng)常使用這個(gè)地址進(jìn)行網(wǎng)站的后臺(tái)登陸,比如弱密碼、表單繞過、暴力破解等,從而得到網(wǎng)站的權(quán)限。

網(wǎng)站存在服務(wù)端統(tǒng)計(jì)信息文件:網(wǎng)站存在服務(wù)端統(tǒng)計(jì)信息文件,該文件會(huì)導(dǎo)致網(wǎng)站的一些架構(gòu)信息泄露,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu),為攻擊者入侵網(wǎng)站提供幫助。

成都創(chuàng)新互聯(lián)公司 - 西部信息機(jī)房,四川服務(wù)器租用,成都服務(wù)器租用,四川網(wǎng)通托管,綿陽服務(wù)器托管,德陽服務(wù)器托管,遂寧服務(wù)器托管,綿陽服務(wù)器托管,四川云主機(jī),成都云主機(jī),西南云主機(jī),西部信息機(jī)房,西南服務(wù)器托管,四川/成都大帶寬,服務(wù)器機(jī)柜,四川老牌IDC服務(wù)商

當(dāng)前文章:網(wǎng)站漏洞類型說明
文章源于:http://muchs.cn/article28/eepocp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站改版靜態(tài)網(wǎng)站、網(wǎng)站收錄、面包屑導(dǎo)航定制開發(fā)、微信小程序

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

綿陽服務(wù)器托管