实例网站技术脆弱性分析

1WEB网站扫描报告

1.1 综述

1.1.1测试目标

本次渗透测试的目标是对在信网关进行渗透性测试。从中发现可能的安全弱点，并给出修正建议。

IP地址：

在信网关：http://211.94.128.125/spms/jsp/frame/login.jsp

1.1.2测试方法

本次测试主要通过扫描器、应用软件测试工具、自行开发的渗透性测试工具与人工测试相结合的方式，分别对网站的端口，应用程序，系统，WEB应用程序等方面进行了测试与评估，并针对每个找到的安全弱点，给出了具体的验证方法与解决方案。

1.1.3漏洞统计

共发现漏洞31个：

SQL 注入1个（高风险）

账户安全策略不足 2个（高风险）

会话标识未更新1个（高风险）

程序代码漏洞1个（高风险）

跨站脚本XSS 4个（中风险）

检测到BEA WebLogic 1个（中风险）

登陆请求未加密6个（中风险）

检测到隐藏目录10个（低风险）

HTML注释泄密3个（低风险）

发现可高速缓存的登录页面2个（低风险）

其中：

高风险漏洞5个

中风险漏洞11个

低风险漏洞15个

1.2 网页漏洞评估

1.2.1SQL注入

1.2.2账户安全策略不足

1.2.3会话标识未更新

1.2.4程序代码漏洞

1.2.5跨站脚本XSS

1.2.6检测到BEA WebLogic

1.2.7 登陆请求未加密

1.2.8 检测到隐藏目录

1.2.9HTML注释泄密

1.2.10发现可高速缓存的登录页面