百度最新漏洞類型說明
發(fā)布者: 華企立方 發(fā)布時(shí)間:2012-11-16
百度推出漏洞檢測(cè)工具beta版讓網(wǎng)站的漏洞百出,對(duì)于漏洞也有詳細(xì)的說明:
漏洞分為三個(gè)類型:高危漏洞�、中危漏洞、低危漏洞
1、高危漏洞
高危漏洞包括:SQL注入漏洞、XSS跨站腳本漏洞、頁(yè)面存在源代碼泄露����、網(wǎng)站存在備份文件��、網(wǎng)站存在包含SVN信息的文件�����、網(wǎng)站存在Resin任意文件讀取漏洞。
SQL注入漏洞:網(wǎng)站程序忽略了對(duì)輸入字符串中包含的SQL語(yǔ)句的檢查����,使得包含的SQL語(yǔ)句被數(shù)據(jù)庫(kù)誤認(rèn)為是合法的SQL指令而運(yùn)行,導(dǎo)致數(shù)據(jù)庫(kù)中各種敏感數(shù)據(jù)被盜取�����、更改或刪除���。
XSS跨站腳本漏洞:網(wǎng)站程序忽略了對(duì)輸入字符串中特殊字符與字符串(如<>'"<script><iframe>onload)的檢查,使得攻擊者可以欺騙用戶訪問包含惡意JavaScript代碼的頁(yè)面�����,使得惡意代碼在用戶瀏覽器中執(zhí)行����,從而導(dǎo)致目標(biāo)用戶權(quán)限被盜取或數(shù)據(jù)被篡改。
頁(yè)面存在源代碼泄露:頁(yè)面存在源代碼泄露,可能導(dǎo)致網(wǎng)站服務(wù)的關(guān)鍵邏輯�����、配置的賬號(hào)密碼泄露��,攻擊者利用該信息會(huì)更容易得到網(wǎng)站權(quán)限,導(dǎo)致網(wǎng)站被黑�����。
網(wǎng)站存在備份文件:如數(shù)據(jù)庫(kù)備份文件�����、網(wǎng)站源碼備份文件等�����,攻擊者利用該信息可以更容易得到網(wǎng)站權(quán)限��,導(dǎo)致網(wǎng)站被黑���。
網(wǎng)站存在包含SVN信息的文件:網(wǎng)站存在包含SVN信息的文件����,這是網(wǎng)站源碼的版本控制器私有文件�,里面包含SVN服務(wù)的地址、提交的私有文件名�、SVN用戶名等信息,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu),為攻擊者入侵網(wǎng)站提供幫助�����。
網(wǎng)站存在Resin任意文件讀取漏洞:安裝某些版本Resin服務(wù)器的網(wǎng)站存在可讀取任意文件的漏洞�,攻擊者利用該漏洞可以讀取網(wǎng)站服務(wù)器的任意文件內(nèi)容,導(dǎo)致網(wǎng)站被黑�����。
2�����、中危漏洞
中危漏洞包括:網(wǎng)站存在目錄瀏覽漏洞�����、網(wǎng)站存在PHPINFO文件����、網(wǎng)站存在服務(wù)器環(huán)境探針文件�����、網(wǎng)站存在日志信息文件、網(wǎng)站存在JSP示例文件��。
網(wǎng)站存在目錄瀏覽漏洞:網(wǎng)站存在配置缺陷��,存在目錄可瀏覽漏洞����,這會(huì)導(dǎo)致網(wǎng)站很多隱私文件與目錄泄露,比如數(shù)據(jù)庫(kù)備份文件���、配置文件等����,攻擊者利用該信息可以更容易得到網(wǎng)站權(quán)限���,導(dǎo)致網(wǎng)站被黑��。
網(wǎng)站存在PHPINFO文件:這個(gè)是PHP特有的信息文件���,會(huì)導(dǎo)致網(wǎng)站的大量架構(gòu)信息泄露,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)����,為攻擊者入侵網(wǎng)站提供幫助。
網(wǎng)站存在服務(wù)器環(huán)境探針文件:該文件會(huì)導(dǎo)致網(wǎng)站的大量架構(gòu)信息泄露,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)����,為攻擊者入侵網(wǎng)站提供幫助。
網(wǎng)站存在日志信息文件:該文件包含的錯(cuò)誤信息會(huì)導(dǎo)致網(wǎng)站的一些架構(gòu)信息泄露���,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)�,為攻擊者入侵網(wǎng)站提供幫助�。
網(wǎng)站存在JSP示例文件:該文件的弱口令會(huì)導(dǎo)致網(wǎng)站的大量架構(gòu)信息泄露,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)�,為攻擊者入侵網(wǎng)站提供幫助。
3�、低危漏洞
低危漏洞包括:頁(yè)面上存在網(wǎng)站程序的調(diào)試信息、網(wǎng)站存在后臺(tái)登錄地址���、網(wǎng)站存在服務(wù)端統(tǒng)計(jì)信息文件��、網(wǎng)站存在敏感目錄�����。
頁(yè)面上存在網(wǎng)站程序的調(diào)試信息:頁(yè)面上存在數(shù)據(jù)庫(kù)信息,例如數(shù)據(jù)庫(kù)名����、數(shù)據(jù)庫(kù)管理員名����,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)���,為攻擊者入侵網(wǎng)站提供幫助�。
網(wǎng)站存在后臺(tái)登錄地址:攻擊者經(jīng)常使用這個(gè)地址進(jìn)行網(wǎng)站的后臺(tái)登陸�����,比如弱密碼�、表單繞過、暴力破解等�,從而得到網(wǎng)站的權(quán)限。
網(wǎng)站存在服務(wù)端統(tǒng)計(jì)信息文件:該文件會(huì)導(dǎo)致網(wǎng)站的一些架構(gòu)信息泄露���,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)����,為攻擊者入侵網(wǎng)站提供幫助�。
網(wǎng)站存在敏感目錄:如 /upload /database /bak,該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)�����,為攻擊者入侵網(wǎng)站提供幫助。
文章由2800kj.cn整理發(fā)布
此文關(guān)鍵字:
客服中心
公司地址
QQ客服
