安全检测结果报告.docx

AWVS安全监测后发现的问题整体截图：

问题个数

高级别漏洞问题截图1：

翻译：

目录遍历Spring框架

漏洞描述：

目录遍历脆弱性在Spring框架与静态资源处理。一些url没有santized正确使用前允许攻击者获取文件系统上的任何文件,也可以处理的Springweb应用程序运行。

影响Spring版本:

Spring框架3.0.43.2.11

Spring框架4.0.04.0.7

Spring框架4.1.0以下4.4.1

其他不支持的版本也可能受到影响

这种脆弱性影响/css/btstrap.min.css.

发现:脚本(Spring_Framework_Audit.script)。

攻击的细节：没有细节

高级别漏洞问题截图

高级别漏洞问题截图2：

翻译：

目录遍历Spring框架

漏洞描述：

目录遍历脆弱性在Spring框架与静态资源处理。一些url没有santized正确使用前允许攻击者获取文件系统上的任何文件,也可以处理的Springweb应用程序运行。

影响Spring版本:

Spring框架3.0.43.2.11

Spring框架4.0.04.0.7

Spring框架4.1.0以下4.4.1

其他不支持的版本也可能受到影响

这种脆弱性影响/css/login.css.

发现:脚本(Spring_Framework_Audit.script)。

攻击的细节：没有细节

高级别漏洞问题截图

高级别漏洞问题截图PAGE3：

翻译：

脆弱的Javascript库

漏洞描述：

您使用的是一个脆弱的Javascript库。一个或多个漏洞报告了这个版本的Javascript库。和网络参考咨询攻击细节更多信息的图书馆和漏洞影响的报道。

这个漏洞影响/js/jquery-1.7.2.min.js。

发现:脚本(Javascript_Libraries_Audit.script)。

攻击的细节：

检测到jqueryJavascript库版本是1.7.2。从文件名,文件版本检测内容。

翻译：

弱密码

漏洞描述：

需要手动确认这个警报。

这个页面使用弱密码。Acunetix“全球价值调查”主要根据能够猜所需的凭证访问这个页面。弱密码是短暂的,常见的,系统默认值,或者可以通过执行快速猜蛮力攻击使用所有可能的密码的一个子集,比如单词在字典里,适当的名称,基于用户名或常见的变化在这些主题。

这个漏洞影响/logi。n

发现:脚本(Html_Authentication_Audit.script)。

攻击的细节：

用户名:admin,密码:111111

中级别漏洞问题截图

中级别漏洞问题截图PAGE1：

翻译：

ApacheJServ协议服务

漏洞描述：

ApacheJServ协议(美国)是一种二进制协议,可以代理入站请求从web服务器到应用程序服务器,web服务器。不推荐美国服务公开在互联网上。如果美国是配置错误的它可能允许攻击者访问内部资源。

这个漏洞影响服务器。

发现:脚本(AJP_Audit.script)。

攻击的细节：

AJP服务运行在TCP端口8009上。

翻译：

HTML表单没有CSRF保护

漏洞描述：

这个警报可能是假阳性,手动确认是必需的。

跨站点请求伪造,也称为一键攻击或者会话控制和缩写为CSRFXSRF,是一种恶意利用的一个网站,未经授权的命令是传播从一个网站的用户信任。

Acunetix“全球价值调查”主要根据发现没有明显的HTML表单CSRF保护实现的。咨询更多的细节关于影响

HTML表单的信息。

这个漏洞影响/login.。发现:履带。

攻击的细节

表单名称:empty

表单操作:22:8080/login

形式方法:POST

表单输入:

用户名(文本)密码(密码)

中级别漏洞问题截图3：

翻译：

HTML表单没有CSRF保护

漏洞描述：

这个警报可能是假阳性,手动确认是必需的。

跨站点请求伪造,也称为一键攻击或者会话控制和缩写为CSRFXSRF,是一种恶意利用的一个网站,未经授权的命令是传播从一个网站的用户信任。

Acunetix“全球价值调查”主要根据发现没有明显的HTML表单CSRF保护实现的。咨询更多的细节关于影响

HTML表单的信息。

这个漏洞影响/skysafe/index。.发现:履带。

攻击的细节

攻击的细节

表单名称:empty

表单操作:22:8080/skysafe/index

形式方法:POST

表单输入:

用户名(文本)密码(密码)btnLogin[提交]