360
漏洞檢測工具beta版上線
作者:百度站長平台 發布時間:2012年11月15日
各位網站管理員:
很高興通知大家,百度站長平台推出重磅站長安全工具——漏洞檢測工具,可以檢測您的網站存在哪些風險,並能根據不同的風險給出詳細的修複建議及該風險的危險等級,主要漏洞類型見下方介紹。為了保證網站的安全運營,建議您定期使用該工具對網站進行漏洞檢測。
國內超三分之二網站存在高危漏洞
百度安全聯盟合作夥伴知道創宇旗下的安全工具Scanv及加速樂監測到國內有高危漏洞的網站占全網的三分之二以上,每天防護的僵屍網絡攻擊高達1億餘次。如果網站的漏洞由於未及時修複導致被黑客利用入侵,必然會嚴重影響網站的用戶體驗及網站的正常運營,最終會影響到您的網站在百度網頁搜索中的體現。網站漏洞問題非常嚴重,網站安全為網站運營的重中之重,希望站長們重視安全問題,用好漏洞檢測工具,保證網站的安全運轉及用戶體驗。同時推薦使用百度安全聯盟合作夥伴:知道創宇旗下的安全工具Scanv及加速樂有效的保護您的網站不被黑客破壞。
如何使用漏洞檢測工具
第一步,注冊並登錄百度站長平台
第二步,提交網站並驗證歸屬,具體驗證網站歸屬方法可見幫助文檔
第三步,選擇左側“站點管理”
第四步,在已認證歸屬的站點列表中選擇需要查詢的站點
第五步,選擇左側“漏洞檢測”
第六步,可檢測到網站是否存在漏洞問題(主要展示形式如下圖)
漏洞類型說明
1、高危漏洞
高危漏洞包括:SQL注入漏洞、XSS跨站腳本漏洞、頁麵存在源代碼泄露、網站存在備份文件、網站存在包含SVN信息的文件、網站存在Resin任意文件讀取漏洞。
SQL注入漏洞:網站程序忽略了對輸入字符串中包含的SQL語句的檢查,使得包含的SQL語句被數據庫誤認為是合法的SQL指令而運行,導致數據庫中各種敏感數據被盜取、更改或刪除。
XSS跨站腳本漏洞:網站程序忽略了對輸入字符串中特殊字符與字符串(如<>'"<script><iframe>onload)的檢查,使得攻擊者可以欺騙用戶訪問包含惡意JavaScript代碼的頁麵,使得惡意代碼在用戶瀏覽器中執行,從而導致目標用戶權限被盜取或數據被篡改。
頁麵存在源代碼泄露:頁麵存在源代碼泄露,可能導致網站服務的關鍵邏輯、配置的賬號密碼泄露,攻擊者利用該信息會更容易得到網站權限,導致網站被黑。
網站存在備份文件:如數據庫備份文件、網站源碼備份文件等,攻擊者利用該信息可以更容易得到網站權限,導致網站被黑。
網站存在包含SVN信息的文件:網站存在包含SVN信息的文件,這是網站源碼的版本控製器私有文件,裏麵包含SVN服務的地址、提交的私有文件名、SVN用戶名等信息,該信息有助於攻擊者更全麵了解網站的架構,為攻擊者入侵網站提供幫助。
網站存在Resin任意文件讀取漏洞:安裝某些版本Resin服務器的網站存在可讀取任意文件的漏洞,攻擊者利用該漏洞可以讀取網站服務器的任意文件內容,導致網站被黑。
2、中危漏洞
中危漏洞包括:網站存在目錄瀏覽漏洞、網站存在PHPINFO文件、網站存在服務器環境探針文件、網站存在日誌信息文件、網站存在JSP示例文件。
網站存在目錄瀏覽漏洞:網站存在配置缺陷,存在目錄可瀏覽漏洞,這會導致網站很多隱私文件與目錄泄露,比如數據庫備份文件、配置文件等,攻擊者利用該信息可以更容易得到網站權限,導致網站被黑。
網站存在PHPINFO文件:這個是PHP特有的信息文件,會導致網站的大量架構信息泄露,該信息有助於攻擊者更全麵了解網站的架構,為攻擊者入侵網站提供幫助。
網站存在服務器環境探針文件:該文件會導致網站的大量架構信息泄露,該信息有助於攻擊者更全麵了解網站的架構,為攻擊者入侵網站提供幫助。
網站存在日誌信息文件:該文件包含的錯誤信息會導致網站的一些架構信息泄露,該信息有助於攻擊者更全麵了解網站的架構,為攻擊者入侵網站提供幫助。
網站存在JSP示例文件:該文件的弱口令會導致網站的大量架構信息泄露,該信息有助於攻擊者更全麵了解網站的架構,為攻擊者入侵網站提供幫助。
3、低危漏洞
低危漏洞包括:頁麵上存在網站程序的調試信息、網站存在後台登錄地址、網站存在服務端統計信息文件、網站存在敏感目錄。
頁麵上存在網站程序的調試信息:頁麵上存在數據庫信息,例如數據庫名、數據庫管理員名,該信息有助於攻擊者更全麵了解網站的架構,為攻擊者入侵網站提供幫助。
網站存在後台登錄地址:攻擊者經常使用這個地址進行網站的後台登陸,比如弱密碼、表單繞過、暴力破解等,從而得到網站的權限。
網站存在服務端統計信息文件:該文件會導致網站的一些架構信息泄露,該信息有助於攻擊者更全麵了解網站的架構,為攻擊者入侵網站提供幫助。
網站存在敏感目錄:如 /upload /database /bak,該信息有助於攻擊者更全麵了解網站的架構,為攻擊者入侵網站提供幫助。
最後更新:2013-07-18 11:37:00