【高危】 认证信息未加密传送 | |
CVSS评分 | 7.5 |
WASC v2.0 分类 | 传输层保护不足 |
OWASP Top 10 2013分类 | A2-脆弱的认证和会话管理 |
OWASP Top 10 2017分类 | A2-失效的身份认证 |
漏洞简介 | web应用程序的认证信息(用户名和密码)未加密传送到服务器。 |
漏洞危害 | 如果认证信息(用户名和密码)未加密传送,就可能被黑客窃听。 |
安全建议 | 建议通过https连接对认证信息进行加密传送。 |
【高危】 认证信息未加密传送 | |||||||||||||||
Url | http://www.lhtzb.cn/index.php/index/login/index.html | ||||||||||||||
HTTP Method | post | ||||||||||||||
Referer | http://www.lhtzb.cn/ | ||||||||||||||
Post Data | from=1&act=login&username=LoginName&password=YCPassWord&fromurl=1 | ||||||||||||||
Request | POST http://www.lhtzb.cn/index.php/index/login/index.html HTTP/1.1 Origin: null User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.6 Safari/534.57.2 Content-Type: application/x-www-form-urlencoded Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Referer: http://www.lhtzb.cn/ Content-Length: 65 Cookie: user_sid=17c44c6ee8
from=1&act=login&username=LoginName&password=YCPassWord&fromurl=1 | ||||||||||||||
【高危】 认证信息未加密传送 | |||||||||||||||
Url | http://www.lhtzb.cn/index/login/index.html?fromurl=http%3A%2F%2Fwww.lhtzb.cn%2Findex.php%2Findex%2Flogin%2Findex.html | ||||||||||||||
HTTP Method | post | ||||||||||||||
Referer | http://www.lhtzb.cn/index.php/index/login/index.html | ||||||||||||||
Post Data | username=LoginName&password=YCPassWord | ||||||||||||||
Request | POST http://www.lhtzb.cn/index/login/index.html?fromurl=http%3A%2F%2Fwww.lhtzb.cn%2Findex.php%2Findex%2Flogin%2Findex.html HTTP/1.1 Origin: null X-Requested-With: XMLHttpRequest User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.6 Safari/534.57.2 Content-Type: application/x-www-form-urlencoded Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Referer: http://www.lhtzb.cn/index.php/index/login/index.html Content-Length: 38 Cookie: user_sid=17c44c6ee8
username=LoginName&password=YCPassWord | ||||||||||||||
【中危】 表单缺少CSRF保护 | |
CVSS评分 | 2.6 |
WASC v2.0 分类 | 跨站请求伪造 |
OWASP Top 10 2013分类 | A8-跨站请求伪造 |
OWASP Top 10 2017分类 | 其它未分类 |
漏洞简介 | 如果表单缺少CSRF保护,很可能被攻击者利用实施CSRF攻击。 |
漏洞危害 | 通过CSRF攻击,攻击者能够让受害者在不知情的情况下执行操作,如删除用户自己的邮件列表等、更改用户自己的密码、转帐操作等等。如果受害者是管理员,其危害可能是灾难性的,甚至可能进而控制整个web服务 器。另外,此攻击的严重性还取决于受影响应用程序的功能。例如,对搜索页面的 CSRF 攻击的严重性低于对转账页面的 CSRF 攻击。 |
安全建议 | 为表单提供anti-CSRF tocken保护 |
【中危】 表单缺少CSRF保护 | |||||||||||||||
Url | http://www.lhtzb.cn/index.php/search/index/lists.html?keyword=1 | ||||||||||||||
HTTP Method | get | ||||||||||||||
Res Code | 98 | ||||||||||||||
Referer | http://www.lhtzb.cn/ | ||||||||||||||
Request | GET http://www.lhtzb.cn/ HTTP/1.1 User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.6 Safari/534.57.2 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Referer: http://www.lhtzb.cn/ Cookie: user_sid=17c44c6ee8
| ||||||||||||||
【中危】 表单缺少CSRF保护 | |||||||||||||||
Url | http://www.lhtzb.cn/index.php/index/login/index.html | ||||||||||||||
HTTP Method | post | ||||||||||||||
Res Code | 98 | ||||||||||||||
Referer | http://www.lhtzb.cn/ | ||||||||||||||
Post Data | |||||||||||||||
Request | GET http://www.lhtzb.cn/ HTTP/1.1 User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.6 Safari/534.57.2 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Referer: http://www.lhtzb.cn/ Cookie: user_sid=17c44c6ee8
| ||||||||||||||
【中危】 整个站点未提供有效的点击劫持保护 | |
CVSS评分 | 6.8 |
WASC v2.0 分类 | 其它未分类 |
OWASP Top 10 2013分类 | 其它未分类 |
OWASP Top 10 2017分类 | 其它未分类 |
漏洞简介 | 点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个常规网页上,然后利用这个常规页面内容诱使用户针对其上面的透明iframe页面进行操作,此时用户将在不知情的情况下对透明的iframe页面进行操作。如果这个透明iframe页面并不包含重要操作,如仅仅是显示信息,攻击不会造成任何危害,但如果包含重要的操作,如删除操作,其后果是显而易见的。另外,如果url在非认证状态下也能访问,通常情况下是无害的,因此针对这种url不应该报告点击劫持漏洞。 如果整个站点中的所有页面都未提供点击劫持保护,通常是比较危险的,除非所有页面都不包含任何重要的操作。 |
漏洞危害 | 点击劫持漏洞的安全风险主要表现在: 1. 通过点击劫持漏洞,攻击者能够降低XSS漏洞的利用难度; 2. 通过点击劫持漏洞,攻击者能够突破传统的CSRF防御措施,实施CSRF攻击。 |
安全建议 | 避免点击劫持最有效的方法是通过设置X-Frame-Options响应头阻止站点内的页面被恶意页面嵌入。请记住使用 FrameBusting 代码阻止站点内的网页被恶意页面载入,并不是可靠的,容易被绕过。 |
【中危】 整个站点未提供有效的点击劫持保护 | |||||||||||||||
Url | http://www.lhtzb.cn/ | ||||||||||||||
HTTP Method | get | ||||||||||||||
Res Code | 0 | ||||||||||||||
Referer | |||||||||||||||
Request | |||||||||||||||
【低危】 未对密码字段禁用autocomplete属性 | |
CVSS评分 | 3.6 |
WASC v2.0 分类 | 信息泄漏 |
OWASP Top 10 2013分类 | A2-脆弱的认证和会话管理 |
OWASP Top 10 2017分类 | A2-失效的身份认证 |
漏洞简介 | “input”元素的“password”字段中的“autocomplete”属性没有设置为“off”。 |
漏洞危害 | 这可能会使未授权用户(具有授权客户机的本地访问权)能够自动填写用户名和密码字段,并因此登录站点。 |
安全建议 | 对密码字段禁用autocomplete属性。 |
【低危】 未对密码字段禁用autocomplete属性 | |||||||||||||||
Url | http://www.lhtzb.cn/ | ||||||||||||||
HTTP Method | get | ||||||||||||||
Referer | http://www.lhtzb.cn/ | ||||||||||||||
Request | GET http://www.lhtzb.cn/ HTTP/1.1 User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.6 Safari/534.57.2 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Referer: http://www.lhtzb.cn/
| ||||||||||||||
【低危】 电话号码泄漏 | |
CVSS评分 | 4.3 |
WASC v2.0 分类 | 信息泄漏 |
OWASP Top 10 2013分类 | A6-敏感信息泄漏 |
OWASP Top 10 2017分类 | A3-敏感信息泄漏 |
漏洞简介 | web应用程序响应中含有电话号码,可能被用于社会工程学攻击。 |
漏洞危害 | |
安全建议 | 从 Web 站点中除去电话号码,使恶意的用户无从利用。 |
【低危】 电话号码泄漏 | |||||||||||||||
Url | http://www.lhtzb.cn/index.php/search/index/lists.html?keyword=1 | ||||||||||||||
HTTP Method | get | ||||||||||||||
Res Code | 200 | ||||||||||||||
Referer | http://www.lhtzb.cn/ | ||||||||||||||
Request | GET http://www.lhtzb.cn/index.php/search/index/lists.html?keyword=1 HTTP/1.1 Referer: http://www.lhtzb.cn/ Cookie: user_sid=17c44c6ee8
| ||||||||||||||
请高手看一下怎么处理?他们让明天报送处理结果。急,谢谢大家!!
,
消费:1211.05元 2021-06-02 16:44 16:446楼
打造最专业的开源系统建站程序
是的。
粤公网安备 44011302001000号
