網(wǎng)站漏洞整改報告按照國家《中華人民共和國計算機信息系統(tǒng)安全保護條例》、《計算機信息網(wǎng)絡國際聯(lián)網(wǎng)安全保護管理辦法》、《互聯(lián)網(wǎng)安全保護技術(shù)措施規(guī)定》等有關法律法規(guī)規(guī)定，全面落實互聯(lián)網(wǎng)安全保護制度和安全保護技術(shù)措施，對網(wǎng)站、信息安全進行了嚴格漏洞安全檢查工作。本次網(wǎng)站安全檢查是完全站在攻擊者角度，模擬黑客可能使用的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù)進行的安全性測試，通過結(jié)合多方面的攻擊技術(shù)進行測試，發(fā)現(xiàn)本校個別網(wǎng)站系統(tǒng)存在比較明顯的可利用的安全漏洞，針對已存在漏洞的系統(tǒng)需要進行重點加固。本次檢查結(jié)果和處理方案如下:高危漏洞0個頁面嚴重漏洞0個頁面警告漏洞0個頁面輕微漏洞0個頁面同主機網(wǎng)站安全正常虛假或欺詐網(wǎng)站正常掛馬或惡意網(wǎng)站正常惡意篡改正常敏感內(nèi)容正常安全狀況安全漏洞類型:SQL注入/XPath請求方式:POST影響頁面:/webDeanBoxAction.do處理方案:通過在Web應用程序中增加通用防注入程序來防止SQL注入攻擊。通用SQL防注入程序通常在數(shù)據(jù)庫連接文件中被引入，并在程序執(zhí)行過程中對常見的GET、POST、Cookie等提交方式進行過濾處理，攔截可能存在的SQL注入攻擊。漏洞類型:SQL注入/XPath、XSS跨站腳本攻擊請求方式:POST影響頁面:/sbcxsearch.asp處理方案:此網(wǎng)站已經(jīng)新做，新版正測試中，馬上投入使用。:80/jp2005/08漏洞類型:XSS跨站腳本攻擊漏洞證據(jù):<script>alert(42873)</script>影響頁面::80/jp2005/08/flashshow.asp?title=%CA%FD%D7%D6%B5%E7%C2%B7%D3%EB%CA%FD%D7%D6%B5%E7%D7%D3%BC%BC%CA%F5%BE%AB%C6%B7%BF%CE%B3%CC%C9%EA%B1%A8%CE%C4%BC%FE_%D0%BB%CB%C9%D4%C6"><script>alert(42873)</script>處理方案:方案一：站在安全的角度看，必須過濾用戶輸入的危險數(shù)據(jù)，默認用戶所有的輸入數(shù)據(jù)都是不安全的，根據(jù)自身網(wǎng)站程序做代碼修改。方案二：使用防護腳本。（附代碼）<%'Codebysafe3OnErrorResumeNextifrequest.querystring<>""thencallstophacker(request.querystring,"'|<[^>]*?>|^\+/v(8|9)|\b(and|or)\b.+?(>|<|=|\bin\b|\blike\b)|/endfunctionfunctionstophacker(values,re)diml_get,l_get2,n_get,regex,IPforeachn_getinvaluesforeachl_getinvaluesl_get2=values(l_get)setregex=newregexpregex.ignorecase=trueregex.global=trueregex.pattern=reifregex.test(l_get2)thenIP=Request.ServerVariables("HTTP_X_FORWARDED_FOR")IfIP=""ThenIP=Request.ServerVariables("REMOTE_ADDR")endif'slog("<br><br>操作IP:"&ip&"<br>操作時間:"&now()&"<br>操作頁面："&Request.ServerVariables("URL")&"<br>提交方式:"&Request.ServerVariables("Request_Method")&"<br>提交參數(shù):"&l_get&"<br>提交數(shù)據(jù):"&l_get2)Response.Write("<divstyle='position:fixed;top:0px;width:100%;height:100%;background-color:white;color:green;font-weight:bold;border-bottom:5pxsolid#999;'><br>您的提交帶有不合法參數(shù),謝謝合作!<br><br></div>")Response.endendifsetregex=nothingnextnextendfunctionsubslog(logs)dimtoppath,fs,Tstoppath=Server.Mappath("/log.htm")Setfs=CreateObject("scripting.filesystemobject")IfNotFs.FILEEXISTS(toppath)ThenSetTs=fs.createtextfile(toppath,True)Ts.closeendifSetTs=Fs.OpenTextFile(toppath,8)Ts.writeline(logs)Ts.CloseSetTs=nothingSetfs=nothingendsub%>漏洞類型:XSS跨站腳本攻擊漏洞證據(jù):<script>alert(42873)</script>影響頁面::80/servlet/Redirect?linkto=/structure/wqfw"-->;alert(42873);"處理方案:方案一：站在安全的角度看，必須過濾用戶輸入的危險數(shù)據(jù)，默認用戶所有的輸入數(shù)據(jù)都是不安全的，根據(jù)自身網(wǎng)站程序做代碼修改。方案二：使用防護腳本。輸入資料過濾<%Stringmessage=request.getParameter("message");message=message.replace('<','');message=message.replace('>','');message=message.replace('"','');message=message.replace('\'','');message=message.replace('/','');message=message.replace('%','');message=message.replace(';','');message=message.replace('(','');message=message.replace(')','');message=message.replace('&','');message=message.replace('+','_');out.print(message);%>漏洞類型:SQL注入漏洞（盲注）漏洞證據(jù):InjectionType:String<br>DatabaseType:Access影響頁面:/book/own_show_showimg.asp?own_id=122處理方案:1.在網(wǎng)頁代碼中需要對用戶輸入的數(shù)據(jù)進