2018年普通高校招生网站检测安全评估报告

报表信息

报表名称	2018年普通高校招生网站检测
报表编号	NVS-20180523-002R
NVSCODE	NVS-20180523-002R
生成时间	2018-05-23 14:59:42
任务名称	task_976
任务状态	3
任务启动	2018-05-23 11:21:07
任务结束	2018-05-23 11:48:55

1 综述

本次任务共检测主机 1 个，域名 1 个，风险总数 4 个（另有信息级风险 17 个），安全风险总评级为高风险。

高风险及以上风险总数 3 个，其中主机漏洞 0 个，Web漏洞 3 个，占比 100% ，弱密码 0 个。

所有主机中不存在含有高风险漏洞的主机。

所有域名中包含有高风险漏洞的域名数量为 1 个，占域名总数 100% 。

主机漏洞中高风险及以上漏洞为 0 个。

Web漏洞中高风险及以上漏洞为 3 个，占Web漏洞总数 100% 。

弱密码 0 个。

2 总体风险分析

2.1 风险等级分布

2.2 风险类型分布

本次扫描没有发现弱密码。

2.3 所有主机（IP）风险分布

主机（IP）风险统计包括主机漏洞、Web漏洞和弱密码漏洞。

本次共扫描主机 1 个，其中：

紧急主机 0 个；

高风险主机 1 个，占 100% ；

中风险主机 0 个；

低风险主机 0 个；

较安全主机 0 个。

[ 查看详细 ]

2.4 所有域名风险分布

本次共扫描域名 1 个，其中：

高风险域名 1 个，占 100% ；

中风险域名 0 个；

低风险域名 0 个；

较安全域名 0 个。

[ 查看详细 ]

3 所有主机（IP）信息统计

(注：本表格内数据格式为 “ 低风险及以上风险数 / 信息泄露风险数 ”。)

IP地址

域名数

主机风险数

Web风险数

弱密码数

综合风险评级

更多信息

221.15.43.2

1

1 / 17

3

0

高风险

展开详情

4 主机漏洞分析

4.1 概述

4.2 主机漏洞统计

IP地址	紧急	高风险	中风险	低风险	信息	主机风险评级	更多信息
221.15.43.2	0	0	1	0	17	中风险	点击查看

4.3 主机漏洞列表

4.3.1 Web服务器漏洞检测

本次扫描共发现该风险 0 种，共 0 个。另有信息级风险 1 种，共 1 个。

风险评级

风险名称

影响主机数

更多信息

信息

超文本传输协议（HTTP）信息

1

展开详情

4.3.2 Windows漏洞检测

本次扫描共发现该风险 1 种，共 1 个。

风险评级

风险名称

影响主机数

更多信息

中风险

McAfee Managed Agent 输入验证漏洞

1

展开详情

4.3.3 MacOS漏洞检测

本次扫描没有发现该风险。

4.3.4 UNIX漏洞检测

本次扫描没有发现该风险。

4.3.5 数据库漏洞检测

本次扫描没有发现该风险。

4.3.6 CGI漏洞检测

本次扫描没有发现该风险。

4.3.7 DNS漏洞检测

本次扫描没有发现该风险。

4.3.8 FTP/TFTP漏洞检测

本次扫描没有发现该风险。

4.3.9 虚拟化漏洞检测

本次扫描没有发现该风险。

4.3.10 网络设备漏洞检测

本次扫描没有发现该风险。

4.3.11 邮件服务器漏洞检测

本次扫描没有发现该风险。

4.3.12 杂项漏洞检测

本次扫描共发现该风险 0 种，共 0 个。另有信息级风险 8 种，共 16 个。

风险评级

风险名称

影响主机数

更多信息

信息

系统的TCP扫描器（辅助插件）

5

展开详情

信息

系统SYN扫描器（辅助插件）

5

展开详情

信息

TCP/IP时间戳支持

1

展开详情

信息

检测到反向NAT/Intercepting代理

1

展开详情

信息

Telnet服务器检测

1

展开详情

信息

远程主机操作系统识别

1

展开详情

信息

通用平台枚举(CPE)

1

展开详情

信息

远程主机设备类型检测

1

展开详情

5 Web漏洞分析

5.1 概述

(注：本节内容与总体风险分析->所有域名风险分布一节相同。)

本次共扫描域名 1 个，其中：

高风险域名 1 个，占 100% ；

中风险域名 0 个；

低风险域名 0 个；

较安全域名 0 个。

5.2 Web漏洞统计

域名	标题	紧急	高风险	中风险	低风险	信息	域名风险评级	更多信息
http://zsc.lhvtc.edu.cn/	漯河职业技术学院招生网	0	3	0	0	0	高风险	点击查看

5.3 Web漏洞列表

5.3.1 SQL注入

本次扫描没有发现该风险。

5.3.2 弱密码

本次扫描没有发现该风险。

5.3.3 目录遍历

本次扫描没有发现该风险。

5.3.4 系统命令执行

本次扫描共发现该风险1种，共3个，其中高危及以上风险1种，共3个。

风险评级

风险名称

影响URL数

更多信息

高风险

上传点

3

展开详情

[ 高风险 ] 上传点

URL列表（共3条）

风险描述

解决方案

http://zsc.lhvtc.edu.cn/zxzx.jsp?urltype=tree.TreeTempUrl&wbtreeid=1033

风险评级	高风险
相关域名	http://zsc.lhvtc.edu.cn/ 访问域名 \| 访问URL
漏洞简述	该URL中包含上传点，可能会包含上传漏洞并且被黑客利用。
请求报文	GET /zxzx.jsp?urltype=tree.TreeTempUrl&wbtreeid=1033 HTTP/1.1 Host: zsc.lhvtc.edu.cn Connection: Keep-alive Accept: text/plain User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1) Gecko/20090624 Firefox/3.5
响应报文	HTTP/1.1 200 OK content-location:http://zsc.lhvtc.edu.cn/zxzx.jsp?urltype=tree.TreeTempUrl&wbtreeid=1033 content-language:zh-CN transfer-encoding:chunked set-cookie:JSESSIONID=26882CD598FEF8107AC9E25BB9AD9F06; Path=/; HttpOnly, safedog-flow-item=; expires=Wen, 23-May-2018 16:00:07 GMT; domain=lhvtc.edu.cn; path=/ vary:Accept-Encoding server:Unknown date:Wed, 23 May 2018 03:47:00 GMT x-frame-options:SAMEORIGIN content-type:text/html;charset=UTF-8

http://zsc.lhvtc.edu.cn/zxzx.jsp?b37960bt=2&b37960bp=2&b37960bc=10&urltype=tree.TreeTempUrl&wbtreeid=1033

风险评级	高风险
相关域名	http://zsc.lhvtc.edu.cn/ 访问域名 \| 访问URL
漏洞简述	该URL中包含上传点，可能会包含上传漏洞并且被黑客利用。
请求报文	GET /zxzx.jsp?b37960bt=2&b37960bp=2&b37960bc=10&urltype=tree.TreeTempUrl&wbtreeid=1033 HTTP/1.1 Host: zsc.lhvtc.edu.cn Connection: Keep-alive Accept: text/plain User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1) Gecko/20090624 Firefox/3.5
响应报文	HTTP/1.1 200 OK content-location:http://zsc.lhvtc.edu.cn/zxzx.jsp?b37960bt=2&b37960bp=2&b37960bc=10&urltype=tree.TreeTempUrl&wbtreeid=1033 content-language:zh-CN transfer-encoding:chunked set-cookie:JSESSIONID=DAF4052BB09AF0304D71E9DA9FC4360B; Path=/; HttpOnly, safedog-flow-item=; expires=Wen, 23-May-2018 16:00:09 GMT; domain=lhvtc.edu.cn; path=/ vary:Accept-Encoding server:Unknown date:Wed, 23 May 2018 03:47:01 GMT x-frame-options:SAMEORIGIN content-type:text/html;charset=UTF-8

http://zsc.lhvtc.edu.cn/zxzx.jsp?b37960bt=2&b37960bp=1&b37960bc=10&urltype=tree.TreeTempUrl&wbtreeid=1033

风险评级	高风险
相关域名	http://zsc.lhvtc.edu.cn/ 访问域名 \| 访问URL
漏洞简述	该URL中包含上传点，可能会包含上传漏洞并且被黑客利用。
请求报文	GET /zxzx.jsp?b37960bt=2&b37960bp=1&b37960bc=10&urltype=tree.TreeTempUrl&wbtreeid=1033 HTTP/1.1 Host: zsc.lhvtc.edu.cn Connection: Keep-alive Accept: text/plain User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.1) Gecko/20090624 Firefox/3.5
响应报文	HTTP/1.1 200 OK content-location:http://zsc.lhvtc.edu.cn/zxzx.jsp?b37960bt=2&b37960bp=1&b37960bc=10&urltype=tree.TreeTempUrl&wbtreeid=1033 content-language:zh-CN transfer-encoding:chunked set-cookie:JSESSIONID=81A5578B4CB18ACF47D611FF4AF34B7A; Path=/; HttpOnly, safedog-flow-item=; expires=Wen, 23-May-2018 16:00:11 GMT; domain=lhvtc.edu.cn; path=/ vary:Accept-Encoding server:Unknown date:Wed, 23 May 2018 03:47:04 GMT x-frame-options:SAMEORIGIN content-type:text/html;charset=UTF-8

检测到网站存在上传页面，该页面允许访问者上传文件。
如果文件上传功能的实现代码没有严格限制用户上传的文件后缀名以及文件类型，可能导致用户上传.asp，.jsp，.php等脚本文件。
如果远程服务器权限配置不当，对上传目录配置了可执行权限，则攻击者可以远程执行上传的文件。

1. 检查上传脚本文件，过滤.asp，.jsp，.php等脚本文件。例如，一个上传图片的页面，后台应该禁止除jpg，bmp，gif等图片类型文件以外其他类型文件的上传。
2. 检查上传目录权限配置，一般上传目录用来存放用户上传的文件。出于安全问题的考虑，该目录不应当具备“可执行”权限，如果不是必须的，请去掉该目录的“可执行”权限。

5.3.5 越权访问

本次扫描没有发现该风险。

5.3.6 信息泄露

本次扫描没有发现该风险。

5.3.7 跨站脚本攻击

本次扫描没有发现该风险。

5.3.8 拒绝服务

本次扫描没有发现该风险。

5.3.9 资源位置可预测

本次扫描没有发现该风险。

5.3.10 逻辑错误

本次扫描没有发现该风险。

5.3.11 配置不当

本次扫描没有发现该风险。

5.3.12 内容电子欺骗

本次扫描没有发现该风险。

5.3.13 外链信息

本次扫描没有发现该风险。

6 弱密码

本次扫描没有发现弱密码。