问:http://szsi-tech.com.cn/,客户检测网站列出一下问题,域名和截图如下
答:您好,请提供具体详情信息我们查看下,非常感谢您长期对我司的支持!
问:1. 基本信息扫描目标IP127.0.0.1扫描目标网站szsi-tech.com.cn网站名称芯矽科技责任单位苏州芯矽电子科技有限公司安全状况高危地 苏州 行业互联网企业发现时间 11:43:01 2.漏洞类型统计2.1网站漏洞扫描危险等级漏洞类型数量高危跨站脚本攻击33.漏洞详情1、跨站脚本攻击漏洞链接:http://szsi-tech.com.cn/login/home/css/漏洞说明:{\”risk_category\”:\”sec_vul\”,\”rule_name\”:\”xss\”,\”raw_request_header\”:\”GET /login/home\’\\\”><svg onload=alert(0xf62d8b)>/css/ HTTP/1.1\\r\\nAccept-Encoding: gzip, deflate\\r\\nConnection: keep-alive\\r\\nAccept: text/html,application/xhtml xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3\\r\\nUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3508.0 Safari/537.36\\r\\nHost: szsi-tech.com.cn\\r\\re-Requests: 1\\r\\nCookie: preurl=%2F; cookietest=1; captchaExpire=; PHPSESSID=6e4hpspiij4g13tps4rsn7dc44; captchaKey=8cc0aa58d0\\r\\n\\r\\n\”,\”raw_response_header\”:\”HTTP/1.1 200 OK\\r\\nServer: wts/1.2\\r\\nDate: Tue, 08 Sep 2020 08:31:47 GMT\\r\\nContent-Type: text/html\\r\\nng: chunked\\r\\nConnection: keep-alive\\r\\nX-Powered-By: PHP/5.2.17p1\\r\\nExpires: Thu, 19 Nov 1981 08:52:00 GMT\\r\\nCache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check=0\\r\\nPragma: no-cache\\r\\ng: gzip\\r\\n\\r\\n\”,\”url\”:\”http://szsi-tech.com.cn/login/home/css/\”,\”highlight\”:[{\”name\”:\”raw_request_header\”,\”index\”:[11,46]}],\”response_content\”:\”<!DOCTYPE html PUBLIC \\\”-//W3C//DTD XHTML 1.0 Strict//EN\\\” \\\”http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd\\\”>\\r\\n<html xmlns=\\\”http://www.w3.org/1999/xhtml\\\”>\\r\\n<head>\\r\\n<title>系统发生错误</title>\\r\\n<meta http-equiv=\\\”content-type\\\” content=\\\”text/html;charset=utf-8\\\”/>\\r\\n<meta name=\\\”Generator\\\” content=\\\”EditPlus\\\”/>\\r\\n<style>\\r\\nbody{\\r\\n\\tfont-family: \’Microsoft Yahei\’, Verdana, arial, sans-serif;\\r\\n\\tfont-size:14px;\\r\\n}\\r\\na{text-decoration:none;color:#174B73;}\\r\\na:hover{ text-decoration:none;color:#FF6600;}\\r\\nh2{\\r\\n\\tborder-bottom:1px solid #DDD;\\r\\n\\tpadding:8px 0;\\r\\n font-size:25px;\\r\\n}\\r\\n.title{\\r\\n\\tmargin:4px 0;\\r\\n\\tcolor:#F60;\\r\\n\\tfont-weight:bold;\\r\\n}\\r\\n.message,#trace{\\r\\n\\tpadding:1em;\\r\\n\\tborder:solid 1px #000;\\r\\n\\tmargin:10px 0;\\r\\n\\tbackground:#FFD;\\r\\n\\tline-height:150%;\\r\\n}\\r\\n.message{\\r\\n\\tbackground:#FFD;\\r\\n\\tcolor:#2E2E2E;\\r\\n\\t\\tborder:1px solid #E0E0E0;\\r\\n}\\r\\n#trace{\\r\\n\\tbackground:#E7F7FF;\\r\\n\\tborder:1px solid #E0E0E0;\\r\\n\\tcolor:#535353;\\r\\n}\\r\\n.notice{\\r\\n padding:10px;\\r\\n\\tmargin:5px;\\r\\n\\tcolor:#666;\\r\\n\\tbackground:#FCFCFC;\\r\\n\\tborder:1px solid #E0E0E0;\\r\\n}\\r\\n.red{\\r\\n\\tcolor:red;\\r\\n\\tfont-weight:bold;\\r\\n}\\r\\n</style>\\r\\n</head>\\r\\n<body>\\r\\n<div class=\\\”notice\\\”>\\r\\n<h2>系统发生错误 </h2>\\r\\n<div >您可以选择 [ <A HREF=\\\”/login/index.php/home\’\\\”><svg onload=alert(0xf62d8b)>/css/\\\”>重试</A> ] [ <A HREF=\\\”javascript:history.back()\\\”>返回</A> ] 或者 [ <A HREF=\\\”/login\\\”>回到首页</A> ]</div>\\r\\n<p class=\\\”title\\\”>[ 错误信息 ]</p>\\r\\n<p class=\\\”message\\\”>无法加载模块home\’\\\”><svg onload=alert(0xf62d8b)></p>\\r\\n</div>\\r\\n<div align=\\\”center\\\” style=\\\”color:#FF3300;margin:7px;font-family:Verdana\\\”> ThinkPHP <sup style=\’color:gray;font-size:12px\’>2.0</sup><span style=\’color:silver\’> { Fast & Simple OOP PHP Framework } — [ WE CAN DO IT JUST THINK IT ]</span>\\r\\n</div>\\r\\n</body>\\r\\n</html>\\r\\n\”,\”xss type\”:\”GET_XSS\”,\”request_content\”:\”\”,\”param\”:\”<uri>\”,\”payload\”:\”\’\\\”><svg onload=alert(0xf62d8b)>\”,\”harm_level\”:3,\”page_name\”:\”http://szsi-tech.com.cn/login/home/css/\”,\”plugin_type\”:\”detect\”,\”location\”:\”URL\”,\”cvss_level\”:\”CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L\”,\”place\”:\”uri\”,\”vuln_url\”:\”http://szsi-tech.com.cn/login/home/css/\”,\”recheckid\”:\”5f574189dd4be24edae668a5\”,\”desc\”:\”跨站脚本攻击\”}漏洞等级:高危发现时间: 16:34:11.0验证时间: 09:56:15.0通报时间: 15:22:24漏洞危害:web应用程序未对用户输入的字符过滤或合法性校验,允许用户输入javascript、vbscript语句,得到客户端机器的cookie等信息。修复建议:<p><strong>HTML/XML页面输出规范:</strong></p><pre class="brush:bash;toolbar:false">1,在HTML/XML中显示“用户可控数据”前,应该进行html escape转义。 2,在javascript内容中输出的“用户可控数据”,需要做javascript escape转义。 3,对输出到富文本中的“用户可控数据”,做富文本安全过滤(允许用户输出HTML的情况)。 4,输出在url中的数据,做url安全输出。</pre>验证备注:确认存在跨站脚本漏洞验证截图:以下url存在相同漏洞:1、http://szsi-tech.com.cn/login/home/img/2、http://szsi-tech.com.cn/login/home/js/5.术语附录本章节主要对在报告中出现的术语或名词进行详细说明和解释。根据漏洞可能造成的危害,将漏洞分为以下3个等级:5.1高危漏洞指容易造成系统被控制或重要数据泄露的漏洞。包括:SQL注入漏洞、XSS跨站脚本漏洞、页面存在源代码泄露、网站存在备份文件、网站存在包含SVN信息的文件、网站存在Resin任意文件读取漏洞。5.2中危漏洞指可能导致网站被黑或者被搜索引擎降权的漏洞。包括:IIS实例文件漏洞、包含敏感URL等。5.3低危漏洞指存在敏感信息或敏感URL等为攻击者入侵提供情报信息的漏洞。包括:包含敏感信息URL、包含敏感URL、存在后台登录地址等。
问:上面的内容是客户发过来de
答:您好,上面发详细信息都是程序方面安全问题,需要联系程序开发修复,您也可以在主机控制面板-百度云加速开启后再试,百度云加速可以防御部分漏洞攻击,非常感谢您长期对我司的支持!
