WEB应用漏洞-温州特种设备检测研究院

附件3：重点网站技术检测报告

重点网站

技术检测报告

网站属地：浙江温州

网站名称：温州市特种设备检测研究院

域名：_

重点网站技术检测报告

经技术检测发现，你单位网站(地址：)存在安全漏洞183个，其中高风险漏洞40个，中风险漏洞113个，低风险漏洞30个，已验证漏洞183个。

1.检测结果(检测结果包含但不限于以下漏洞)

站点URL风险值9.8风险等级非常危险当前状态任务完成漏洞信息高风险：40 次中风险：113 次低风险：30 次信息统计已发现链接数：348已扫描链接数：84已发现文件数：236有漏洞文件数：13时间统计开始：2016-07-20 18:46:47 (UTC+08:00)结束：2016-07-20 19:37:49 (UTC+08:00)耗时：50分钟59秒版本信息系统版本：V6.0R03F01SP07插件版本：V6.0R03F00.45

域名IP名称Web服务器脚本语言WAF温州市特种设备检测研究院apache 2.2.22php 5.2.5{task_site_info.waf.0.0}}

服务名称所用产品服务版本操作系统类型80httpApache httpd2.2.22--443https------8080httpApache Tomcat/Coyote JSP engine1.1--8443https-alt------8888httpApache Tomcat/Coyote JSP engine1.1--

WEB应用漏洞

高风险漏洞

SSL/TLS存在Bar Mitzvah Attack漏洞

请求方式GETURL/参考(验证)IP: ; PORT:443 Cipher Suites:TLS_RSA_WITH_RC4_128_SHA检测到目标主机可能存在缓慢的http拒绝服务攻击

请求方式GETURL/参考(验证)time:410 ip:中风险漏洞

检测到目标网站存在无效链接

URL/access.php请求方式GET问题参数判断标准判断请求的url是否为坏链。1、构造URL：/access.php；2、在响应头及响应内容中匹配status code。

/access.php?cid=1请求方式GET问题参数判断标准判断请求的url是否为坏链。1、构造URL：/access.php?cid=1；2、在响应头及响应内容中匹配status code。

/uploadfile/down/1429078583.docx请求方式GET问题参数判断标准判断请求的url是否为坏链。1、构造URL：/uploadfile/down/1429078583.docx；2、在响应头及响应内容中匹配status code。

/uploadfile/down/1437375339.docx请求方式GET问题参数判断标准判断请求的url是否为坏链。1、构造URL：/uploadfile/down/1437375339.docx；2、在响应头及响应内容中匹配status code。

/uploadfile/down/1423124923.xlsx请求方式GET问题参数判断标准判断请求的url是否为坏链。1、构造URL：/uploadfile/down/1423124923.xlsx；2、在响应头及响应内容中匹配status code。

/uploadfile/down/1401949534.docx请求方式GET问题参数判断标准判断请求的url是否为坏链。1、构造URL：/uploadfile/down/1401949534.docx；2、在响应头及响应内容中匹配status code。

检测到目标URL存在电话号码泄露

URL/equwarn.php?instype=atestu&orgnameequregcode=atestu&procode=atestu&equcode=atestu&usecode=atestu请求方式GET问题参数判断标准访问当前URL，查看请求的响应内容中是否存在电话号码信息，如果存在电话号码，则认为存在漏洞。1、构造URL：/equwarn.php?instype=atestu&orgnameequregcod