（黑帽SEO技術,網(wǎng)站快速排名,蜘蛛池加速收錄,目錄程序定制）

掃一下添加微信：

漏洞檢測工具beta版上線

發(fā)布日期：2014-05-29

作者：百度站長平臺     發(fā)布時間：2012年11月15日

各位網(wǎng)站管理員： 

很高興通知大家，百度站長平臺推出重磅站長安全工具——漏洞檢測工具，可以檢測您的網(wǎng)站存在哪些風險，并能根據(jù)不同的風險給出詳細的修復建議及該風險的危險等級，主要漏洞類型見下方介紹。為了保證網(wǎng)站的安全運營，建議您定期使用該工具對網(wǎng)站進行漏洞檢測。

國內超三分之二網(wǎng)站存在高危漏洞

我們監(jiān)測到國內有高危漏洞的網(wǎng)站占全網(wǎng)的三分之二以上，每天防護的僵尸網(wǎng)絡攻擊高達1億余次。如果網(wǎng)站的漏洞由于未及時修復導致被黑客利用入侵，必然會嚴重影響網(wǎng)站的用戶體驗及網(wǎng)站的正常運營，最終會影響到您的網(wǎng)站在百度網(wǎng)頁搜索中的體現(xiàn)。網(wǎng)站漏洞問題非常嚴重，網(wǎng)站安全為網(wǎng)站運營的重中之重，希望站長們重視安全問題，用好漏洞檢測工具，保證網(wǎng)站的安全運轉及用戶體驗。同時推薦使用百度云加速有效的保護您的網(wǎng)站不被黑客破壞。

如何使用漏洞檢測工具

第一步，注冊并登錄百度站長平臺

第二步，提交網(wǎng)站并驗證歸屬，具體驗證網(wǎng)站歸屬方法可見幫助文檔

第三步，選擇左側“站點管理”

第四步，在已認證歸屬的站點列表中選擇需要查詢的站點

第五步，選擇左側“漏洞檢測”

第六步，可檢測到網(wǎng)站是否存在漏洞問題。

漏洞類型說明

1、高危漏洞

高危漏洞包括：SQL注入漏洞、XSS跨站腳本漏洞、頁面存在源代碼泄露、網(wǎng)站存在備份文件、網(wǎng)站存在包含SVN信息的文件、網(wǎng)站存在Resin任意文件讀取漏洞。

SQL注入漏洞：網(wǎng)站程序忽略了對輸入字符串中包含的SQL語句的檢查，使得包含的SQL語句被數(shù)據(jù)庫誤認為是合法的SQL指令而運行，導致數(shù)據(jù)庫中各種敏感數(shù)據(jù)被盜取、更改或刪除。

XSS跨站腳本漏洞：網(wǎng)站程序忽略了對輸入字符串中特殊字符與字符串（如<>'"<script><iframe>onload）的檢查，使得攻擊者可以欺騙用戶訪問包含惡意JavaScript代碼的頁面，使得惡意代碼在用戶瀏覽器中執(zhí)行，從而導致目標用戶權限被盜取或數(shù)據(jù)被篡改。

頁面存在源代碼泄露：頁面存在源代碼泄露,可能導致網(wǎng)站服務的關鍵邏輯、配置的賬號密碼泄露，攻擊者利用該信息會更容易得到網(wǎng)站權限，導致網(wǎng)站被黑。

網(wǎng)站存在備份文件：如數(shù)據(jù)庫備份文件、網(wǎng)站源碼備份文件等，攻擊者利用該信息可以更容易得到網(wǎng)站權限，導致網(wǎng)站被黑。

網(wǎng)站存在包含SVN信息的文件：網(wǎng)站存在包含SVN信息的文件，這是網(wǎng)站源碼的版本控制器私有文件，里面包含SVN服務的地址、提交的私有文件名、SVN用戶名等信息，該信息有助于攻擊者更全面了解網(wǎng)站的架構，為攻擊者入侵網(wǎng)站提供幫助。

網(wǎng)站存在Resin任意文件讀取漏洞：安裝某些版本Resin服務器的網(wǎng)站存在可讀取任意文件的漏洞，攻擊者利用該漏洞可以讀取網(wǎng)站服務器的任意文件內容，導致網(wǎng)站被黑。

2、中危漏洞

中危漏洞包括：網(wǎng)站存在目錄瀏覽漏洞、網(wǎng)站存在PHPINFO文件、網(wǎng)站存在服務器環(huán)境探針文件、網(wǎng)站存在日志信息文件、網(wǎng)站存在JSP示例文件。

網(wǎng)站存在目錄瀏覽漏洞：網(wǎng)站存在配置缺陷，存在目錄可瀏覽漏洞，這會導致網(wǎng)站很多隱私文件與目錄泄露，比如數(shù)據(jù)庫備份文件、配置文件等，攻擊者利用該信息可以更容易得到網(wǎng)站權限，導致網(wǎng)站被黑。

網(wǎng)站存在PHPINFO文件：這個是PHP特有的信息文件，會導致網(wǎng)站的大量架構信息泄露，該信息有助于攻擊者更全面了解網(wǎng)站的架構，為攻擊者入侵網(wǎng)站提供幫助。

網(wǎng)站存在服務器環(huán)境探針文件：該文件會導致網(wǎng)站的大量架構信息泄露，該信息有助于攻擊者更全面了解網(wǎng)站的架構，為攻擊者入侵網(wǎng)站提供幫助。

網(wǎng)站存在日志信息文件：該文件包含的錯誤信息會導致網(wǎng)站的一些架構信息泄露，該信息有助于攻擊者更全面了解網(wǎng)站的架構，為攻擊者入侵網(wǎng)站提供幫助。

網(wǎng)站存在JSP示例文件：該文件的弱口令會導致網(wǎng)站的大量架構信息泄露，該信息有助于攻擊者更全面了解網(wǎng)站的架構，為攻擊者入侵網(wǎng)站提供幫助。

3、低危漏洞

低危漏洞包括：頁面上存在網(wǎng)站程序的調試信息、網(wǎng)站存在后臺登錄地址、網(wǎng)站存在服務端統(tǒng)計信息文件、網(wǎng)站存在敏感目錄。

頁面上存在網(wǎng)站程序的調試信息：頁面上存在數(shù)據(jù)庫信息，例如數(shù)據(jù)庫名、數(shù)據(jù)庫管理員名，該信息有助于攻擊者更全面了解網(wǎng)站的架構，為攻擊者入侵網(wǎng)站提供幫助。

網(wǎng)站存在后臺登錄地址：攻擊者經(jīng)常使用這個地址進行網(wǎng)站的后臺登陸，比如弱密碼、表單繞過、暴力破解等，從而得到網(wǎng)站的權限。

網(wǎng)站存在服務端統(tǒng)計信息文件：該文件會導致網(wǎng)站的一些架構信息泄露，該信息有助于攻擊者更全面了解網(wǎng)站的架構，為攻擊者入侵網(wǎng)站提供幫助。

網(wǎng)站存在敏感目錄：如 /upload  /database /bak，該信息有助于攻擊者更全面了解網(wǎng)站的架構，為攻擊者入侵網(wǎng)站提供幫助。

 

|轉載請注明來源地址：蜘蛛池出租 http://www.wholesalehouseflipping.com/
專注于SEO培訓，快速排名黑帽SEO https://www.heimao.wiki