可能以下列出来的问题你不当一回事,可是这些信息无意中给攻击者提供了帮助。
漏洞 | 说明 | 问题缘由 | 解决 | WASC分类 |
Directory Listing 或 Directory Listing Pattern Found | 可以列出来目录中的文件, 1. 造成攻击者可以看到目录、文件的结构 2. 有些受限的文件,使得攻击者可以下载 | 服务器配置设置不对 | 修改服务器配置 | Information Disclosure: Directory Indexing Information Disclosure: Information Leakage |
Web Application Source Code Disclosure Pattern Found | 源代码泄露 | 对开发人员讲起来,主要是页面上的调试信息没有去掉,这些信息包括注释。 或者有些临时调试的文件没有删除 | 在生产环境中,要干净的环境。 临时文件、页面中的调试信息全部去掉。 | Information Disclosure: Information Leakage |
Unencrypted Login Request Unencrypted Password Parameter | 在交互的是否,有些关键性的信息没有加密,使得和容易被窃取 如登录等一些操作,建议使用安全的连接方法eg.SSL | 如:用户登录的时候,口令没有加密, | 在系统设计的是否就需要考虑到这些安全性方面的因素。 | Application Privacy Tests Application Privacy Tests |
Cacheable Login Page Found | 登录页面可以被缓存 | 在页面中没有设置正确的缓存参数 | 在系统设计的是否就要考虑到这些 在开发的时候需要严格的遵守。 | Application Privacy Tests |
Alternate Version Of File Detected Or Temporary File Download | 有临时文件没有删除。 | 修改文件时,将文件更名为.bak , .old, 在生产环境中没有删除 | 删除不需要的临时文件 只有必须的文件放在生成环境中。 | Information Disclosure: Information Leakage Information Disclosure: Predictable Resource Location |
| | | | |
| | | | |
| | | | |
| | | | |
| | | | |
Directory Listing 和 Directory Listing Pattern Found:
参考:http://www.webappsec.org/projects/threat/classes/directory_indexing.shtml
Web Application Source Code Disclosure Pattern Found:
参考: http://www.webappsec.org/projects/threat/classes/information_leakage.shtml
Unencrypted Login Request / Unencrypted Password Parameter :
参考:
Cacheable Login Page Found :
参考
联系客服