问:我单位在等保测评漏扫中发现系统高危漏洞,需要请你们处理才行,我单位在等保测评漏扫中发现系统高危漏洞
答:您好,
若为虚拟主机,请提供具体的说明 ,非常感谢您长期对我司的支持,谢谢!
问:没有ruby环境怎么会扫出这种结果呢,麻烦再说下可能的原因
答:您好,
主机没有使用ruby环境,不清楚漏洞检测的原因,建议咨询一下漏洞提供方,非常感谢您长期对我司的支持!
问:一、SQL注入高危漏洞 二、跨站脚本(XSS)高危漏洞
答:您好, 1, 是否虚拟主机ftp cdjqsw
可以通过虚拟主机管理面板–开启百度云加速,开启后再进行检测 ,非常感谢您长期对我司的支持,谢谢!
问:需要在电脑上操作吗,我这里不太方便用电脑怎么办
问:http://www.cdjqsw.com/index.php/news_show/index/id/43
答:您好,已经为您开启百度云加速,请三十分钟后测试 ,
非常感谢您长期对我司的支持,谢谢!
问:我刚才发的就是问题一地址。问题二地址是www.cdjqsw.com 你能看下吗
答:您好, 整个站点已经开启百度云加速防护,您可以稍后进行安全漏洞检测 ,
非常感谢您长期对我司的支持,谢谢!
问:是不是相当于你们开了个防火墙?
问:去年也是这个时间点被扫描到漏洞,有没有方法修补漏洞及时不被扫描到呢
答:您好,是的.上述漏洞彻底解决需从程序代码上入手,您可以参照https://www.west.cn/faq/list.asp?unid=2242 第6条添加安全代码,非常感谢您长期对我司的支持.
问:如果不加这个安全代码的话,一直开启百度云加速可以吗?
答:您好,您可以现在检测看下是否还有漏洞提示,若没有,一直开启百度云加速也是可以的,非常感谢您长期对我司的支持.
问:(内部资料,注意保密)
浙江汇力胶囊有限公司Web漏洞检测报告 乾冠﹒睿眼 浙江乾冠信息安全研究院 2020年02月20日 1. 任务信息1.1. 检测概要 网站风险等级:中 本报告由乾冠﹒睿眼网站监测预警平台制作,采用web安全检查后得出的检测报告,属于机密资料,请进行妥善管理。本次共检测1个网站,共发现web安全漏洞1个,其中0个高危,1个中危,0个低危。 漏洞总数高危漏洞中危漏洞低危漏洞10101.2. 扫描策略序号扫描指标是否启用1检测系检测系统指纹统指启用2SQL注入漏洞启用3XSS漏洞启用4参数污染启用5JAVA漏洞库启用6文件包含漏洞启用7URL跳转及CSRF漏洞启用8Nginx任意文件执行漏洞启用9SVN/CVS文件泄漏漏洞启用10Web服务漏洞启用11目录遍历漏洞启用12ApacheCGI命令执行漏洞启用13DNS域传送漏洞启用14枚举同域网站列表启用15检测Robots信息启用16Flash安全配置缺陷启用17数据库弱口令及远程溢出启用18Ftp弱口令及远程溢出库启用19WordPress漏洞库启用20Web应用漏洞(CMS等)启用21系统及网络脆弱性启用22缓冲 回送。请求的最终接收方应该以 200(OK)响应的实体主体向客户端反映接收到的消息。TRACE 可让客户端查看在请求链的另一端收到什么,并将这项数据用于测试或诊断信息。修复建议关闭HTTP的TRACE方法。
4. 漏洞风险等级评定标准4.1. 单一漏洞风险等级评定标准危险程度危险程度说明高危1、利用漏洞可获得管理员权限,完全控制机器和应用系统。2、利用漏洞可实现文件上传、建立目录,从中获取大量敏感信息。3、利用漏洞发起攻击,可直接引起应用系统服务器故障、响应异常或资金损失。4、弱口令等。中危1、利用漏洞可获取部分访问权限,但不能完全控制机器和应用系统。2、利用漏洞可提取应用系统相关信息,下载文件,但暂时无法实现文件上传或建立目录。3、利用漏洞攻击可间接影响应用系统运行或致使敏感信息泄露。低危1、无法验证可能存在的风险。2、客户风险意识薄弱可能触发的风险。
答:您好,
请参考https://blog.mydns.vip/1304.html 处理 ,非常感谢您对我们的支持!疫情期间,请您务必保护好自己和家人的健康,若有任何问题请随时联系我们,西部数码专人7*24小时值班,在疫情期间竭尽所能为您提供帮助!
问:看了,网站里都没有那些配置文件啊,全是html后缀的静态的文件。
你们在我们看一下,要怎么处理这个web漏洞啊?
问:这个主机的操作系统:windows,是哪个版本的呢?
答:您好,您核实下具体网站呢,如果是hl-jn.com,这个并没有解析到我司空间,而www.hl-jn.com才是解析指向我司的,静态的无法被执行入侵。这个检测报告像是针对http://hl-jn.com 这个没有解析到当前虚拟主机,请核实。当前www.hl-jn.com在我司的主机是windows2012系统,非常感谢您长期对我司的支持!
问:那我把http://hl-jn.com解析上来试试
答:您好,好的,请您解析到我司主机上,然后在检测是否有漏洞,非常感谢您长期对我司的支持!
问:是否把http://hl-jn.com解析到主机上来就可以解决这个问题呢?解析生效,再检测就不会有那个提示了吧?
答:您好,请您先将域名解析到我司主机上,然后在检测,现在无法确定,非常感谢您长期对我司的支持!
问:已经做了ulr转发了,看一下hl-jn.com能不能打开了?
答:您好,查看已经添加成功,但是您刚刚添加不久,解析还没有问题,需要2小时以上稳定生效,可以晚点访问测试。
另外,您的主机是静态文件,不存在被利用网站漏洞入侵的情况,请您知悉。非常感谢您的支持!