分享
  • 收藏
  • 举报
    X
    我们网警支队发现网站程序漏洞,请大家帮忙处理。谢谢了!
    638
    26

    5.1.1.1 漏洞描述


     

    【高危】 认证信息未加密传送

    CVSS评分

    7.5

    WASC v2.0 分类

    传输层保护不足

    OWASP Top 10 2013分类

    A2-脆弱的认证和会话管理

    OWASP Top 10 2017分类

    A2-失效的身份认证

    漏洞简介

    web应用程序的认证信息(用户名和密码)未加密传送到服务器。

    漏洞危害

    如果认证信息(用户名和密码)未加密传送,就可能被黑客窃听。

    安全建议

    建议通过https连接对认证信息进行加密传送。

     

     


    5.1.1.2 漏洞列表


    1/2. http://www.lhtzb.cn/index.php/index/login/index.html


     

    【高危】 认证信息未加密传送

    Url

    http://www.lhtzb.cn/index.php/index/login/index.html

    HTTP Method

    post

    Referer

    http://www.lhtzb.cn/

    Post Data

    from=1&act=login&username=LoginName&password=YCPassWord&fromurl=1

    Request

    POST http://www.lhtzb.cn/index.php/index/login/index.html HTTP/1.1

    Origin: null

    User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.6 Safari/534.57.2

    Content-Type: application/x-www-form-urlencoded

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Referer: http://www.lhtzb.cn/

    Content-Length: 65

    Cookie: user_sid=17c44c6ee8

     

    from=1&act=login&username=LoginName&password=YCPassWord&fromurl=1

















     


    2/2. http://www.lhtzb.cn/index/login/index.html


     

    【高危】 认证信息未加密传送

    Url

    http://www.lhtzb.cn/index/login/index.html?fromurl=http%3A%2F%2Fwww.lhtzb.cn%2Findex.php%2Findex%2Flogin%2Findex.html

    HTTP Method

    post

    Referer

    http://www.lhtzb.cn/index.php/index/login/index.html

    Post Data

    username=LoginName&password=YCPassWord

    Request

    POST http://www.lhtzb.cn/index/login/index.html?fromurl=http%3A%2F%2Fwww.lhtzb.cn%2Findex.php%2Findex%2Flogin%2Findex.html HTTP/1.1

    Origin: null

    X-Requested-With: XMLHttpRequest

    User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.6 Safari/534.57.2

    Content-Type: application/x-www-form-urlencoded

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Referer: http://www.lhtzb.cn/index.php/index/login/index.html

    Content-Length: 38

    Cookie: user_sid=17c44c6ee8

     

    username=LoginName&password=YCPassWord

















    5.2 中危漏洞 (3)


    5.2.1 表单缺少CSRF保护 (2)


    5.2.1.1 漏洞描述


     

    【中危】 表单缺少CSRF保护

    CVSS评分

    2.6

    WASC v2.0 分类

    跨站请求伪造

    OWASP Top 10 2013分类

    A8-跨站请求伪造

    OWASP Top 10 2017分类

    其它未分类

    漏洞简介

    如果表单缺少CSRF保护,很可能被攻击者利用实施CSRF攻击。

    漏洞危害

    通过CSRF攻击,攻击者能够让受害者在不知情的情况下执行操作,如删除用户自己的邮件列表等、更改用户自己的密码、转帐操作等等。如果受害者是管理员,其危害可能是灾难性的,甚至可能进而控制整个web服务 器。另外,此攻击的严重性还取决于受影响应用程序的功能。例如,对搜索页面的 CSRF 攻击的严重性低于对转账页面的 CSRF 攻击。

    安全建议

    为表单提供anti-CSRF tocken保护

     

     


    5.2.1.2 漏洞列表


    1/2. http://www.lhtzb.cn/index.php/search/index/lists.html


     

    【中危】 表单缺少CSRF保护

    Url

    http://www.lhtzb.cn/index.php/search/index/lists.html?keyword=1

    HTTP Method

    get

    Res Code

    98

    Referer

    http://www.lhtzb.cn/

    Request

    GET http://www.lhtzb.cn/ HTTP/1.1

    User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.6 Safari/534.57.2

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Referer: http://www.lhtzb.cn/

    Cookie: user_sid=17c44c6ee8

     

















     


    2/2. http://www.lhtzb.cn/index.php/index/login/index.html


     

    【中危】 表单缺少CSRF保护

    Url

    http://www.lhtzb.cn/index.php/index/login/index.html

    HTTP Method

    post

    Res Code

    98

    Referer

    http://www.lhtzb.cn/

    Post Data


    Request

    GET http://www.lhtzb.cn/ HTTP/1.1

    User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.6 Safari/534.57.2

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Referer: http://www.lhtzb.cn/

    Cookie: user_sid=17c44c6ee8

     

     

















     

     


    5.2.2 整个站点未提供有效的点击劫持保护 (1)


    5.2.2.1 漏洞描述


     

    【中危】 整个站点未提供有效的点击劫持保护

    CVSS评分

    6.8

    WASC v2.0 分类

    其它未分类

    OWASP Top 10 2013分类

    其它未分类

    OWASP Top 10 2017分类

    其它未分类

    漏洞简介

    点击劫持是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个常规网页上,然后利用这个常规页面内容诱使用户针对其上面的透明iframe页面进行操作,此时用户将在不知情的情况下对透明的iframe页面进行操作。如果这个透明iframe页面并不包含重要操作,如仅仅是显示信息,攻击不会造成任何危害,但如果包含重要的操作,如删除操作,其后果是显而易见的。另外,如果url在非认证状态下也能访问,通常情况下是无害的,因此针对这种url不应该报告点击劫持漏洞。 如果整个站点中的所有页面都未提供点击劫持保护,通常是比较危险的,除非所有页面都不包含任何重要的操作。

    漏洞危害

    点击劫持漏洞的安全风险主要表现在: 1. 通过点击劫持漏洞,攻击者能够降低XSS漏洞的利用难度; 2. 通过点击劫持漏洞,攻击者能够突破传统的CSRF防御措施,实施CSRF攻击。

    安全建议

    避免点击劫持最有效的方法是通过设置X-Frame-Options响应头阻止站点内的页面被恶意页面嵌入。请记住使用 FrameBusting 代码阻止站点内的网页被恶意页面载入,并不是可靠的,容易被绕过。

     

     


    5.2.2.2 漏洞列表


    1/1. http://www.lhtzb.cn/


     

    【中危】 整个站点未提供有效的点击劫持保护

    Url

    http://www.lhtzb.cn/

    HTTP Method

    get

    Res Code

    0

    Referer


    Request


















     

     

    5.3 低危漏洞 (2)


    5.3.1 未对密码字段禁用autocomplete属性 (1)


    5.3.1.1 漏洞描述


     

    【低危】 未对密码字段禁用autocomplete属性

    CVSS评分

    3.6

    WASC v2.0 分类

    信息泄漏

    OWASP Top 10 2013分类

    A2-脆弱的认证和会话管理

    OWASP Top 10 2017分类

    A2-失效的身份认证

    漏洞简介

    “input”元素的“password”字段中的“autocomplete”属性没有设置为“off”。

    漏洞危害

    这可能会使未授权用户(具有授权客户机的本地访问权)能够自动填写用户名和密码字段,并因此登录站点。

    安全建议

    对密码字段禁用autocomplete属性。

     

     


    5.3.1.2 漏洞列表


    1/1. http://www.lhtzb.cn/


     

    【低危】 未对密码字段禁用autocomplete属性

    Url

    http://www.lhtzb.cn/

    HTTP Method

    get

    Referer

    http://www.lhtzb.cn/

    Request

    GET http://www.lhtzb.cn/ HTTP/1.1

    User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) AppleWebKit/534.57.2 (KHTML, like Gecko) Version/5.1.6 Safari/534.57.2

    Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

    Referer: http://www.lhtzb.cn/

     

















     

     


    5.3.2 电话号码泄漏 (1)


    5.3.2.1 漏洞描述


     

    【低危】 电话号码泄漏

    CVSS评分

    4.3

    WASC v2.0 分类

    信息泄漏

    OWASP Top 10 2013分类

    A6-敏感信息泄漏

    OWASP Top 10 2017分类

    A3-敏感信息泄漏

    漏洞简介

    web应用程序响应中含有电话号码,可能被用于社会工程学攻击。

    漏洞危害


    安全建议

    从 Web 站点中除去电话号码,使恶意的用户无从利用。

     

     


    5.3.2.2 漏洞列表


    1/1. http://www.lhtzb.cn/index.php/search/index/lists.html


     

    【低危】 电话号码泄漏

    Url

    http://www.lhtzb.cn/index.php/search/index/lists.html?keyword=1

    HTTP Method

    get

    Res Code

    200

    Referer

    http://www.lhtzb.cn/

    Request

    GET http://www.lhtzb.cn/index.php/search/index/lists.html?keyword=1 HTTP/1.1

    Referer: http://www.lhtzb.cn/

    Cookie: user_sid=17c44c6ee8

     

















     

     

    请高手看一下怎么处理?他们让明天报送处理结果。急,谢谢大家!!



    2
    赏礼
    赏钱
    收藏
    点击回复
        全部留言
    • 26
    • 午夜梦寒 实战运营者 消费:1817.13元 3个月前 07:54
      其他手机
      5楼
      两个步骤:
      1,宝塔强制使用https
      2,数据库中替换所有http为https
      理想 消费:684.54元 华为 3个月前
      数据库怎么替换?
      午夜梦寒 消费:1817.13元 其他手机 3个月前
      这得问一下官方有没有代码可以全自动替换了,不然手工替换,那么多字段,会累死人
      理想 消费:684.54元 其他手机 3个月前
      哦,现在官方应该没有把?
      铁牛 消费:0.01元 3个月前
      @午夜梦寒
      教你一招,后台备份数据出来,把.sql后缀的文件,用工具批量替换。最省心
      铁牛 消费:0.01元 3个月前
      其实也可以不用替换。修改伪静态规则也可以强制跳转的。
      午夜梦寒 消费:1817.13元 其他手机 3个月前
      @铁牛 宝塔实际已经强制跳转,但是审核组认的是源链接,还是需要把原链接给替换掉的
    0 赏钱 赏礼回复
    • 诚信lawyer 普通粉丝 消费:0.1元 3个月前 18:425楼
      刚才查看了回复的强制https,打开查看应该是宝塔等第三方服务,我们希望的是x1程序开发者自己写程序堵住漏洞。
      笛声悠扬 消费:84.04元 3个月前
      不是这个概念,要谈安全,那必须是强制开启HTTPS的!必须!
    0 赏钱 赏礼回复
    • 码农 程序开发者 消费:0元 3个月前 11:075楼
      在提醒你交保护费了。这些根本就不是所谓的漏洞。这般人,真正有漏洞就没能力找出来了
      理想 消费:684.54元 3个月前
      但的给他们报送处理结果,怎么应对?要不就要通报
      码农 消费:0元 3个月前
      @理想 在提醒你给茶水费了
      诚信lawyer 消费:0.1元 3个月前
      公安机关网警扫描出的安全漏洞,必须整改,还要书面回复,不是提醒交保护法哦,这个事情没有谁敢开玩笑哦,那是网警用安全软件扫描出来的漏洞,x1开发人员要重视、
    0 赏钱 赏礼回复
    • 诚信lawyer 普通粉丝 消费:0.1元 3个月前 18:165楼
      但凡稍稍重要点的备案网站,都要申请公安备案号,同时会接受网警安全监测。
      理想 消费:684.54元 华为 3个月前
      是的。
    0 赏钱 赏礼回复
    • 诚信lawyer 普通粉丝 消费:0.1元 3个月前 18:135楼
      同解,很担心的网站程序安全问题,admin 应该迅速为x1程序补此漏洞。凡是政府类网站,商业类很重要的网站,被纳入网警监控的,都要被扫描安全问题,如果不及时整改,补漏洞,网站负责人还要被公安机关训诫和警告,严重的还可能承担更重的法律责任。
    0 赏钱 赏礼回复
    • kk1212 白金粉丝 消费:1211.05元 3个月前 16:445楼
      要求的那么严格 你们应该是政府单位吧,
      理想 消费:684.54元 华为 3个月前
      党委统战部网站
    0 赏钱 赏礼回复
    • 人在旅途 普通粉丝 消费:35.58元 3个月前 10:225楼
      主要是看你做大了,怕你被黑。煞费苦心啊
    0 赏钱 赏礼回复
    • 袁冬 普通粉丝 消费:160.85元 3个月前 12:31
      华为
      5楼
      强制https吧
    0 赏钱 赏礼回复
    • 半满 程序开发者 消费:0.3元 3个月前 11:315楼
      直接申请HTTPS  SSL
      理想 消费:684.54元 3个月前
      已开启。还需要怎么操作?
      半满 消费:0.3元 3个月前
      @理想 如果是宝塔有个强制使用HTTPS开关,把他开起来,用户访问HTTP都是强制为HTTPS
      理想 消费:684.54元 3个月前
      已开启
    0 赏钱 赏礼回复
    • 理想 普通粉丝 消费:684.54元 3个月前 11:355楼


    0 赏钱 赏礼回复
    • 图腾-2420 普通粉丝 消费:242.01元 3个月前 11:20
      华为
      5楼
      开启https啊
    0 赏钱 赏礼回复
    更多回复
        你可能感兴趣的主题
    恢复多功能编辑器
  • 3 1
  • 推荐内容
    扫一扫访问手机版
    请选择要切换的马甲:

     
    网页即时交流
    QQ咨询
    咨询热线
    020-28998648