目录
1.综述信息
1.1任务信息
网络风险 非常安全(0.9分)
任务名称 扫描[https://wx75b55107caaf4f1a.shop.im-lighting.cn/shop.html...]
扫描目标 https://wx75b55107caaf4f1a.shop.im-lighting.cn/shop.html#/store
任务类型 WEB应用扫描
任务状态 扫描完成
漏洞扫描模板 自动匹配扫描
下达任务用户 admin
任务数据来源 本地扫描
任务说明
信息统计 已爬取文件数:1
有漏洞文件数:1
已扫描链接数:1
已爬取链接数:8
域名统计 已扫描域名数:1
非常危险域名数:0
时间统计 开始:2020-12-21 11:19:54
结束:2020-12-21 11:43:26
历时:23分32秒
版本信息 系统版本:V6.0R03F01SP02
Web插件版本:V6.0R02F00.1908
1.2风险分布
1.2.1页面风险级别分布
1.2.2漏洞高中低风险分布
1.3风险分类统计
1.3.1风险类型
威胁分类 高风险 中风险 低风险 总计
信息泄露类型:信息泄露 0 0 1 1
客户端攻击类型:内容欺骗 0 0 1 1
合计 0 0 2 2
1.3.2高危漏洞最多页面TOP10
2.站点列表
2.1站点风险等级列表
站点名称 已扫描链接数 扫描耗时 高风险(个) 中风险(个) 低风险(个) 风险值
https://wx75b55107caaf4f1a.shop.im-lighting.cn/shop.html#/store 1 23分29秒 0 0 2 0.9
异常站点列表
站点名称 异常原因
3.漏洞列表
3.1漏洞分布
漏洞类别:低风险[2]  
序号 漏洞名称 影响页面个数 出现次数
1 检测到目标Content-Security-Policy响应头缺失 1 1
受影响站点 https://wx75b55107caaf4f1a.shop.im-lighting.cn/shop.html#/store; 
详细描述 HTTP 响应头Content-Security-Policy允许站点管理者控制用户代理能够为指定的页面加载哪些资源。除了少数例外情况,设置的政策主要涉及指定服务器的源和脚本结束点。 Content-Security-Policy响应头的缺失使得目标URL更易遭受跨站脚本攻击。
解决办法 将您的服务器配置为发送“Content-Security-Policy”头。对于 Apache,请参阅: http://httpd.apache.org/docs/2.2/mod/mod_headers.html 对于 IIS,请参阅: https://technet.microsoft.com/pl-pl/library/cc753133%28v=ws.10%29.aspx 对于 nginx,请参阅: http://nginx.org/en/docs/http/ngx_http_headers_module.html
威胁分值 2
危险插件
发现日期 2001-01-01
CVSS评分 4.3(CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:N/A:N)
2 点击劫持:X-Frame-Options未配置 1 1
受影响站点 https://wx75b55107caaf4f1a.shop.im-lighting.cn/shop.html#/store; 
详细描述 点击劫持(ClickJacking)是一种视觉上的欺骗手段。攻击者使用一个透明的、不可见的iframe,覆盖在一个网页上,然后诱使用户在该网页上进行操作,此时用户将在不知情的情况下点击透明的iframe页面。通过调整iframe页面的位置,可以诱使用户恰好点击在iframe页面的一些功能性按钮上。 HTTP 响应头信息中的X-Frame-Options,可以指示浏览器是否应该加载一个 iframe 中的页面。如果服务器响应头信息中没有X-Frame-Options,则该网站存在ClickJacking攻击风险。网站可以通过设置 X-Frame-Options 阻止站点内的页面被其他页面嵌入从而防止点击劫持。
解决办法 修改web服务器配置,添加X-Frame-Options响应头。赋值有如下三种: 1、DENY:不能被嵌入到任何iframe或者frame中。 2、SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。 3、ALLOW-FROM uri:只能被嵌入到指定域名的框架中。 例如: apache可配置http.conf如下: <IfModule headers_module> Header always append X-Frame-Options "DENY" </IfModule> IIS可配置相关网站的Web.config如下: <system.webServer> ... <httpProtocol> <customHeaders> <add name="X-Frame-Options" value="deny" /> </customHeaders> </httpProtocol> ... </system.webServer>
威胁分值 1
危险插件
发现日期 2001-01-01
CVSS评分 7.3(CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L)
合计 2 2
4.参考标准
4.1单一漏洞风险等级评定标准
危险程度 危险值区域 危险程度说明
7 <= 漏洞风险值 <= 10 攻击者可以远程操作系统文件、读写后台数据库、执行任意命令或进行远程拒绝服务攻击。
4 <= 漏洞风险值 < 7 攻击者可以利用Web网站攻击其他用户,读取系统文件或后台数据库。
0 <= 漏洞风险值 < 4 攻击者可以获取某些系统、文件的信息或冒用身份。
分值 评估标准
1 可远程获取Web服务器组件的版本信息。
2 目标Web服务器开放了不必要的服务。
3 可远程访问到某些不在目录树中的文件或读取服务器动态脚本的源码。
4 可远程因为会话管理的问题导致身份冒用。
5 可远程利用受影响的Web服务器攻击其他浏览网站的用户。
6 可远程读取系统文件或后台数据库。
7 可远程读写系统文件、操作后台数据库。
8 可远程以普通用户身份执行命令或进行拒绝服务攻击。
9 可远程以管理用户身份执行命令(受限、不太容易利用)。
10 可远程以管理用户身份执行命令(不受限、容易利用)。
4.2页面风险级别评定标准
页面风险级别 判定标准
高风险 页面包含的漏洞最高级别为高危
中风险 页面包含的漏洞最高级别为中危
低风险 页面包含的漏洞最高级别为低危
无风险 页面不包含任何漏洞
4.3站点风险等级评定标准
站点风险等级 站点风险值区域
非常危险 8.0 <= 站点风险值 <= 10
比较危险 5.0 <= 站点风险值 < 8.0
比较安全 1.0 <= 站点风险值 < 5.0
非常安全 0 <= 站点风险值 < 1.0

说明:

  1. 按照远程安全评估系统的站点风险评估模型计算每个站点的站点风险值。根据得到的站点风险值参考“站点风险等级评定标准”标识站点风险等等级。
  2. 将站点风险等级按照风险值的高低进行排序,得到非常危险、比较危险、比较安全、非常安全四种站点风险等级。
4.4安全建议

随着越来越多的网络访问通过Web界面进行操作,Web安全已经成为互联网安全的一个热点,基于Web的攻击广为流行,SQL注入、跨站脚本等Web应用层漏洞的存在使得网站沦陷、页面篡改、网页挂马等攻击行为困扰着网站管理者并威胁着网站以及直接用户的安全。基于此,我们可从如下几个方面来消除这些风险,做到防患于未然:

  • 对网站的开发人员进行安全编码方面的培训,在开发过程避免漏洞的引入能起到事半功倍的效果。
  • 请专业的安全研究人员或安全公司对架构网站的程序和代码做全面的源码审计,修补所有发现的安全漏洞,这种白盒安全测试比较全面、深入,能发现绝大部分的安全问题。
  • 在网站上线前,使用Web应用漏洞扫描系统进行安全评估,并修补发现的问题;在网站上线后,坚持更新并使用网站安全监测系统,对整站以及关键页面进行周期和实时监测,及时消除发现的隐患。
  • 采用专业的Web安全防火墙产品,可以在不修改网站本身的情况下对大多数的Web攻击起到有效的阻断作用,绿盟科技提供了功能强大的WAF产品,可以满足用户在这方面的需求。
  • 建议网络管理员、系统管理员、安全管理员关注安全信息、安全动态及最新的严重漏洞,特别是影响到Web站点所使用的系统和软件的漏洞,应该在事前设计好应对规划,一旦发现系统受漏洞影响及时采取措施。