appscan安全扫描结果样例


Web 应用程序报告 该报告包含有关 Web 应用程序的重要安全信息。 OWASP Top Ten 2010 – The Ten Most Critical Web Application Security Risks 报告 该报告由 IBM Rational AppScan 8.0.0.0 创建 2014/12/11 17:04:11 2014/12/11 17:04:11 © Copyright IBM Corp. 2000, 2010. All Rights Reserved. 1/101 OWASP Top Ten 2010 – The Ten Most Critical Web Application Security Risks Web 应用程序报告 已扫描的 Web 应用程序:http://192.168.50.167:8081/jcgg2014/ 扫描名称:jcgg2014_1 内容 该报告包含以下部分: ● 描述 ● 一致性扫描结果 ● 检测到的与一致性有关的唯一问题 ● 与一致性有关的问题和部分引用 关于该报告的重要信息 该“一致性扫描结果报告”是基于由 AppScan 执行的自动 Web 应用程序安全扫描的结果。 AppScan 扫描试图发现 Web 应用程序中与安全有关的问题,并测试 http 框架(例如:Web 服务 器)和应用程序本身的代码(例如:动态页面)。该测试通过 HTTP 执行,并且仅限于为测试指 定并通过 HTTP 通道自动识别的问题。扫描还限于扫描期间执行的自动和/或手动探索中包含的特 定问题。将检测到的与安全有关的问题与选定的合规需求或行业标准需求进行比较,以产生该报 告。对于未指定由 AppScan 测试的这些规定或标准,可能有与之相关联的一致性风险区域。该报 告将不会检测 AppSacn 未测试的一致性风险区域中与一致性有关的任何问题。该报告会识别可能 有一致性风险的区域,但是每个发现的问题类型的精确影响取决于个体应用程序、环境和主题规 定或标准。可能会更改规定和标准,并且 AppScan 执行的扫描可能不会反应所有这些更改。用户 要负责解释该报告中的结果,以便确定影响、实际的一致性违规和适当的修复办法(如果有)。 规定的部分引用仅供引用用途。报告的问题是一般的与一致性有关的风险,而不会解释为来自任 何规定的摘要。 提供的信息不构成法律意见。 IBM 客户有义务确保本身遵守法律规定。关于任何相关法律和法规 需求的认定与解释,由于可能影响客户的事业,以及客户为了遵守这类规定而可能采取的任何行 动,因此,在接受合格法律顾问的意见时,后果一概由客户承担。 2014/12/11 17:04:11 2/101 描述 Summary Description The goal of the Top 10 project is to raise awareness about application security by identifying some of the most critical risks facing organizations. Development projects should address these potential risks in their requirements documents and design, build and test their applications to ensure that they have taken the necessary measures to reduce these risks to the minimum. Project managers should include time and budget for application security activities including developer training, application security policy development, security mechanism design and development, penetration testing, and security code review as part over the overall effort to address the risks. The primary aim of the OWASP Top 10 is to educate developers, designers, architects, managers, and organizations about the consequences of the most important web application security risks. The Top 10 provides basic guidance on how to address against these risks and where to go to learn more on how to address them. Although setout as an education piece, rather than a standard or a regulation, it is important to note that several prominent industry and government regulators are referencing the OWASP top ten. These bodies include among others VISA USA, MasterCard International and the American Federal Trade Commission (FTC). However, according to the OWASP team the OWASP top ten first and foremost an education piece, not a standard. The OWASP team suggests to any organization about to adopt the Top Ten paper as a policy or standard to consult with the OWASP team first. The OWASP Top 10 2010 is a significant update to the previous version of OWASP top ten (2007). It presents a more concise, risk focused list of the Top 10 Most Critical Web Application security risks and how to asses them. Each item in the top 10 is presented with the general likelihood and consequence factors that are used to categorize the typical severity of the risk. Covered Entities All companies and other entities that develop any kind of web application code are encouraged to address the top ten list as part of their over all security risk management. Adopting the OWASP Top Ten is an effective first step towards changing the software development culture within the organization into one that produces secure code. For more information on OWASP Top Ten, please review the –OWASP Top Ten 2010 – The Ten Most Critical Web Application Security Risks, at http://www.owasp.org For more information on securing web applications, please visit http://www- 01.ibm.com/software/rational/offerings/websecurity (*) 免责声明The information provided does not constitute legal advice. The results of a vulnerability assessment will demonstrate potential vulnerabilities in your application that should be corrected in order to reduce the likelihood that your information will be compromised. As legal advice must be tailored to the specific application of each law, and laws are constantly changing, nothing provided herein should be used as a substitute for the advice of competent counsel. IBM customers are responsible for ensuring their own compliance with legal requirements. It is the customer's sole responsibility to obtain advice of competent legal counsel as to the identification and interpretation of any relevant laws and regulatory requirements that may affect the customer's business and any actions the customer may need to take to comply with such laws. 2014/12/11 17:04:11 3/101 一致性扫描结果 在规则的 10 个部分中检测到 144 个唯一问题: 问题数部分 Injection 21. (A1) Cross site scripting (XSS) 42. (A2) Broken authentication and session management 1233. (A3) Insecure direct object reference 34. (A4) Cross site request forgery (CSRF) 1235. (A5) Security Misconfiguration 416. (A6) Insecure cryptographic storage 777. (A7) Failure to restrict URL access. 588. (A8) Insufficient transport layer protection 729. (A9) UnvalidatedRedirects and Forwards -10. (A10) 2014/12/11 17:04:11 4/101 检测到的与一致性有关的唯一问题 在规则的 10 个部分中检测到 144 个唯一问题: 标识URL 参数/cookie 测试名称 部分 1 http://192.168.50.167:8081/jcgg2014/dwr/call/plai ncall/menutree.getcds.dwr 跨站点请求伪造 3, 5 2 http://192.168.50.167:8081/jcgg2014/dwr/call/plai ncall/user.dwrchecklogin.dwr 跨站点请求伪造 3, 5 3 http://192.168.50.167:8081/ 启用了不安全的 HTTP 方法 8 4 http://192.168.50.167:8081/jcgg2014/ 检测到应用程序测试脚本 4, 6, 8 5 http://192.168.50.167:8081/jcgg2014/js/ 启用了不安全的 HTTP 方法 8 6 http://192.168.50.167:8081/jcgg2014/js/My97Dat ePicker/ 启用了不安全的 HTTP 方法 8 7 http://192.168.50.167:8081/jcgg2014/down.jsp 发现内部 IP 泄露模式 6, 7, 8 8 http://192.168.50.167:8081/jcgg2014/top.jsp 发现内部 IP 泄露模式 6, 7, 8 9 http://192.168.50.167:8081/jcgg2014/dwr/call/plai ncall/user.checkPws.dwr 跨站点请求伪造 3, 5 10 http://192.168.50.167:8081/jcgg2014/jsp/ 启用了不安全的 HTTP 方法 8 11 http://192.168.50.167:8081/jcgg2014/jsp/sys/ 启用了不安全的 HTTP 方法 8 12 http://192.168.50.167:8081/jcgg2014/jsp/sys/user / 启用了不安全的 HTTP 方法 8 13 http://192.168.50.167:8081/jcgg2014/jsp/sbsj/ 启用了不安全的 HTTP 方法 8 14 http://192.168.50.167:8081/jcgg2014/assets/ 启用了不安全的 HTTP 方法 8 15 http://192.168.50.167:8081/jcgg2014/assets/java scripts/ 启用了不安全的 HTTP 方法 8 16 http://192.168.50.167:8081/jcgg2014/index.jsp 发现内部 IP 泄露模式 6, 7, 8 17 http://192.168.50.167:8081/jcgg2014/loginAdmin. jsp HTML 注释敏感信息泄露 4, 7 18 http://192.168.50.167:8081/jcgg2014/jsp/sys/user /userupdate_pws.action 跨站点请求伪造 3, 5 19 http://192.168.50.167:8081/jcgg2014/ExportExcel exportExcelTemplet.action 跨站点请求伪造 3, 5 20 http://192.168.50.167:8081/jcgg2014/jsp/sys/user /userupdate_pws.action agopassword 已解密的登录请求 3, 5, 7, 9 21 http://192.168.50.167:8081/jcgg2014/jsp/sys/user /userupdate_pws.action upassword_c 已解密的登录请求 3, 5, 7, 9 22 http://192.168.50.167:8081/jcgg2014/jsp/sys/user /userupdate_pws.action password 已解密的登录请求 3, 5, 7, 9 23 http://192.168.50.167:8081/jcgg2014/ImportExcel imports.action 跨站点请求伪造 3, 5 24 http://192.168.50.167:8081/jcgg2014/ImportExcel imports.action userfile_ 潜在文件上载 1, 6, 8 25 http://192.168.50.167:8081/jcgg2014/jsp/sys/top.j sp HTML 注释敏感信息泄露 4, 7 26 http://192.168.50.167:8081/jcgg2014/jsp/sys/grou p/ 启用了不安全的 HTTP 方法 8 2014/12/11 17:04:11 5/101 标识URL 参数/cookie 测试名称 部分 27 http://192.168.50.167:8081/jcgg2014/jsp/sys/role/ 启用了不安全的 HTTP 方法 8 28 http://192.168.50.167:8081/jcgg2014/jsp/sys/men u/ 启用了不安全的 HTTP 方法 8 29 http://192.168.50.167:8081/jcgg2014/jsp/sys/js/ 启用了不安全的 HTTP 方法 8 30 http://192.168.50.167:8081/jcgg2014/mtc.jsp p 链接注入(便于跨站请求伪 造) 3, 5, 8 31 http://192.168.50.167:8081/jcgg2014/mtc.jsp p 跨站点脚本编制 2, 3, 5 32 http://192.168.50.167:8081/jcgg2014/jsp/sys/grou p/left.jsp lefttree 链接注入(便于跨站请求伪 造) 3, 5, 8 33 http://192.168.50.167:8081/jcgg2014/jsp/sys/grou p/left.jsp lefttree 跨站点脚本编制 2, 3, 5 34 http://192.168.50.167:8081/jcgg2014/jsp/sys/grou p/left.jsp permission 链接注入(便于跨站请求伪 造) 3, 5, 8 35 http://192.168.50.167:8081/jcgg2014/jsp/sys/grou p/left.jsp permission 跨站点脚本编制 2, 3, 5 36 http://192.168.50.167:8081/jcgg2014/mtc.jsp 跨站点请求伪造 3, 5 37 http://192.168.50.167:8081/jcgg2014/mtc.jsp upload 潜在文件上载 1, 6, 8 38 http://192.168.50.167:8081/jcgg2014/user_loginc hecklogin.action 已解密的登录请求 3, 5, 7, 9 39 http://192.168.50.167:8081/jcgg2014/user_loginc hecklogin.action 会话标识未更新 3, 5, 6, 8 40 http://192.168.50.167:8081/jcgg2014/user_loginc hecklogin.action uname_c 链接注入(便于跨站请求伪 造) 3, 5, 8 41 http://192.168.50.167:8081/jcgg2014/user_loginc hecklogin.action uname_c 跨站点脚本编制 2, 3, 5 42 http://192.168.50.167:8081/jcgg2014/user_loginc hecklogin.action upassword_c 已解密的登录请求 3, 5, 7, 9 43 http://192.168.50.167:8081/jcgg2014/sbsjupdate. action 已解密的登录请求 3, 5, 7, 9 44 http://192.168.50.167:8081/jcgg2014/sbsjupdate. action 会话标识未更新 3, 5, 6, 8 45 http://192.168.50.167:8081/jcgg2014/sbsjupdate. action upassword_c 已解密的登录请求 3, 5, 7, 9 46 http://192.168.50.167:8081/jcgg2014/sbsjtoupdat e.action 已解密的登录请求 3, 5, 7, 9 47 http://192.168.50.167:8081/jcgg2014/sbsjtoupdat e.action 会话标识未更新 3, 5, 6, 8 48 http://192.168.50.167:8081/jcgg2014/sjsbsearch. action 已解密的登录请求 3, 5, 7, 9 49 http://192.168.50.167:8081/jcgg2014/sjsbsearch. action 会话标识未更新 3, 5, 6, 8 50 http://192.168.50.167:8081/jcgg2014/tkzzzrcsms zbsearch.action 已解密的登录请求 3, 5, 7, 9 51 http://192.168.50.167:8081/jcgg2014/tkzzzrcsms zbsearch.action 会话标识未更新 3, 5, 6, 8 52 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslz bsearch.action 已解密的登录请求 3, 5, 7, 9 53 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslz bsearch.action 会话标识未更新 3, 5, 6, 8 54 http://192.168.50.167:8081/jcgg2014/sbsjtoupdat e.action upassword_c 已解密的登录请求 3, 5, 7, 9 55 http://192.168.50.167:8081/jcgg2014/sjsbsearch. action upassword_c 已解密的登录请求 3, 5, 7, 9 2014/12/11 17:04:11 6/101 标识URL 参数/cookie 测试名称 部分 56 http://192.168.50.167:8081/jcgg2014/tkzzzrcsms zbsearch.action upassword_c 已解密的登录请求 3, 5, 7, 9 57 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslz bsearch.action upassword_c 已解密的登录请求 3, 5, 7, 9 58 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbs earch.action 已解密的登录请求 3, 5, 7, 9 59 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbs earch.action 会话标识未更新 3, 5, 6, 8 60 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbs earch.action 已解密的登录请求 3, 5, 7, 9 61 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbs earch.action 会话标识未更新 3, 5, 6, 8 62 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczb search.action 已解密的登录请求 3, 5, 7, 9 63 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczb search.action 会话标识未更新 3, 5, 6, 8 64 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlns zbsearch.action 已解密的登录请求 3, 5, 7, 9 65 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlns zbsearch.action 会话标识未更新 3, 5, 6, 8 66 http://192.168.50.167:8081/jcgg2014/tkzznssywd csearch.action 已解密的登录请求 3, 5, 7, 9 67 http://192.168.50.167:8081/jcgg2014/tkzznssywd csearch.action 会话标识未更新 3, 5, 6, 8 68 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsea rch.action 已解密的登录请求 3, 5, 7, 9 69 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsea rch.action 会话标识未更新 3, 5, 6, 8 70 http://192.168.50.167:8081/jcgg2014/checkcheck Status.action 已解密的登录请求 3, 5, 7, 9 71 http://192.168.50.167:8081/jcgg2014/checkcheck Status.action 会话标识未更新 3, 5, 6, 8 72 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbs earch.action upassword_c 已解密的登录请求 3, 5, 7, 9 73 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbs earch.action upassword_c 已解密的登录请求 3, 5, 7, 9 74 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczb search.action upassword_c 已解密的登录请求 3, 5, 7, 9 75 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlns zbsearch.action upassword_c 已解密的登录请求 3, 5, 7, 9 76 http://192.168.50.167:8081/jcgg2014/tkzznssywd csearch.action upassword_c 已解密的登录请求 3, 5, 7, 9 77 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsea rch.action upassword_c 已解密的登录请求 3, 5, 7, 9 78 http://192.168.50.167:8081/jcgg2014/checkcheck Status.action upassword_c 已解密的登录请求 3, 5, 7, 9 79 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszb search.action 已解密的登录请求 3, 5, 7, 9 80 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszb search.action 会话标识未更新 3, 5, 6, 8 81 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszb search.action 已解密的登录请求 3, 5, 7, 9 82 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszb search.action 会话标识未更新 3, 5, 6, 8 83 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbse arch.action 已解密的登录请求 3, 5, 7, 9 84 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbse arch.action 会话标识未更新 3, 5, 6, 8 2014/12/11 17:04:11 7/101 标识URL 参数/cookie 测试名称 部分 85 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsear ch.action 已解密的登录请求 3, 5, 7, 9 86 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsear ch.action 会话标识未更新 3, 5, 6, 8 87 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzb fgdzbsearch.action 已解密的登录请求 3, 5, 7, 9 88 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzb fgdzbsearch.action 会话标识未更新 3, 5, 6, 8 89 http://192.168.50.167:8081/jcgg2014/tqxzsearch. action 已解密的登录请求 3, 5, 7, 9 90 http://192.168.50.167:8081/jcgg2014/tqxzsearch. action 会话标识未更新 3, 5, 6, 8 91 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdse arch.action 已解密的登录请求 3, 5, 7, 9 92 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdse arch.action 会话标识未更新 3, 5, 6, 8 93 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszb search.action upassword_c 已解密的登录请求 3, 5, 7, 9 94 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszb search.action upassword_c 已解密的登录请求 3, 5, 7, 9 95 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbse arch.action upassword_c 已解密的登录请求 3, 5, 7, 9 96 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsear ch.action upassword_c 已解密的登录请求 3, 5, 7, 9 97 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzb fgdzbsearch.action upassword_c 已解密的登录请求 3, 5, 7, 9 98 http://192.168.50.167:8081/jcgg2014/tqxzsearch. action upassword_c 已解密的登录请求 3, 5, 7, 9 99 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdse arch.action upassword_c 已解密的登录请求 3, 5, 7, 9 100 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksea rch.action 已解密的登录请求 3, 5, 7, 9 101 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksea rch.action 会话标识未更新 3, 5, 6, 8 102 http://192.168.50.167:8081/jcgg2014/qxzjygczlzb search.action 已解密的登录请求 3, 5, 7, 9 103 http://192.168.50.167:8081/jcgg2014/qxzjygczlzb search.action 会话标识未更新 3, 5, 6, 8 104 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsea rch.action 已解密的登录请求 3, 5, 7, 9 105 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsea rch.action 会话标识未更新 3, 5, 6, 8 106 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbs earch.action 已解密的登录请求 3, 5, 7, 9 107 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbs earch.action 会话标识未更新 3, 5, 6, 8 108 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksea rch.action upassword_c 已解密的登录请求 3, 5, 7, 9 109 http://192.168.50.167:8081/jcgg2014/qxzjygczlzb search.action upassword_c 已解密的登录请求 3, 5, 7, 9 110 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsea rch.action upassword_c 已解密的登录请求 3, 5, 7, 9 111 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbs earch.action upassword_c 已解密的登录请求 3, 5, 7, 9 112 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbs earch.action 已解密的登录请求 3, 5, 7, 9 113 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbs earch.action 会话标识未更新 3, 5, 6, 8 2014/12/11 17:04:11 8/101 标识URL 参数/cookie 测试名称 部分 114 http://192.168.50.167:8081/jcgg2014/userstyle2.a ction 已解密的登录请求 3, 5, 7, 9 115 http://192.168.50.167:8081/jcgg2014/userstyle2.a ction 会话标识未更新 3, 5, 6, 8 116 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbs earch.action upassword_c 已解密的登录请求 3, 5, 7, 9 117 http://192.168.50.167:8081/jcgg2014/userstyle2.a ction upassword_c 已解密的登录请求 3, 5, 7, 9 118 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.a ction 已解密的登录请求 3, 5, 7, 9 119 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.a ction 会话标识未更新 3, 5, 6, 8 120 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.a ction upassword_c 已解密的登录请求 3, 5, 7, 9 121 http://192.168.50.167:8081/jcgg2014/jsp/sys/user /userupdate_pws.action 已解密的登录请求 3, 5, 7, 9 122 http://192.168.50.167:8081/jcgg2014/jsp/sys/user /userupdate_pws.action 会话标识未更新 3, 5, 6, 8 123 http://192.168.50.167:8081/jcgg2014/ImportExcel imports.action 已解密的登录请求 3, 5, 7, 9 124 http://192.168.50.167:8081/jcgg2014/ImportExcel imports.action 会话标识未更新 3, 5, 6, 8 125 http://192.168.50.167:8081/jcgg2014/ImportExcel imports.action upassword_c 已解密的登录请求 3, 5, 7, 9 126 http://192.168.50.167:8081/jcgg2014/jsp/sys/user style.action 已解密的登录请求 3, 5, 7, 9 127 http://192.168.50.167:8081/jcgg2014/jsp/sys/user style.action 会话标识未更新 3, 5, 6, 8 128 http://192.168.50.167:8081/jcgg2014/roleSetTree .action 已解密的登录请求 3, 5, 7, 9 129 http://192.168.50.167:8081/jcgg2014/roleSetTree .action 会话标识未更新 3, 5, 6, 8 130 http://192.168.50.167:8081/jcgg2014/groupsearc h.action 已解密的登录请求 3, 5, 7, 9 131 http://192.168.50.167:8081/jcgg2014/groupsearc h.action 会话标识未更新 3, 5, 6, 8 132 http://192.168.50.167:8081/jcgg2014/jsp/sys/user style.action upassword_c 已解密的登录请求 3, 5, 7, 9 133 http://192.168.50.167:8081/jcgg2014/roleSetTree .action upassword_c 已解密的登录请求 3, 5, 7, 9 134 http://192.168.50.167:8081/jcgg2014/groupsearc h.action upassword_c 已解密的登录请求 3, 5, 7, 9 135 http://192.168.50.167:8081/jcgg2014/menuSetTr ee.action 已解密的登录请求 3, 5, 7, 9 136 http://192.168.50.167:8081/jcgg2014/menuSetTr ee.action 会话标识未更新 3, 5, 6, 8 137 http://192.168.50.167:8081/jcgg2014/groupSetTr ee.action 已解密的登录请求 3, 5, 7, 9 138 http://192.168.50.167:8081/jcgg2014/groupSetTr ee.action 会话标识未更新 3, 5, 6, 8 139 http://192.168.50.167:8081/jcgg2014/jsp/sys/men u/menusearch.action 已解密的登录请求 3, 5, 7, 9 140 http://192.168.50.167:8081/jcgg2014/jsp/sys/men u/menusearch.action 会话标识未更新 3, 5, 6, 8 141 http://192.168.50.167:8081/jcgg2014/menuSetTr ee.action upassword_c 已解密的登录请求 3, 5, 7, 9 142 http://192.168.50.167:8081/jcgg2014/groupSetTr ee.action upassword_c 已解密的登录请求 3, 5, 7, 9 2014/12/11 17:04:11 9/101 标识URL 参数/cookie 测试名称 部分 143 http://192.168.50.167:8081/jcgg2014/jsp/sys/men u/menusearch.action upassword_c 已解密的登录请求 3, 5, 7, 9 144 http://192.168.50.167:8081/jcgg2014/user_logine xitsys.action 跨站点请求伪造 3, 5 2014/12/11 17:04:11 10/101 与一致性有关的问题和部分引用 1) Injection (A1) 2 问题 潜在文件上载 安全风险 - 可能会在 Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - Web 应用程序编程或配置不安全 修复任务: 在文件上传过程中限制用户的能力和许可权 问题: 问题标识 URL 参数/cookie 24 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action userfile_ 37 http://192.168.50.167:8081/jcgg2014/mtc.jsp upload 2) Cross site scripting (XSS) (A2) 4 问题 跨站点脚本编制 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 11/101 31 http://192.168.50.167:8081/jcgg2014/mtc.jsp p 33 http://192.168.50.167:8081/jcgg2014/jsp/sys/group/left.jsp lefttree 35 http://192.168.50.167:8081/jcgg2014/jsp/sys/group/left.jsp permission 41 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action uname_c 3) Broken authentication and session management (A3) 123 问题 跨站点请求伪造 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 应用程序使用的认证方法不充分 修复任务: 拒绝恶意请求 问题: 问题标识 URL 参数/cookie 1 http://192.168.50.167:8081/jcgg2014/dwr/call/plaincall/menutree.getcd s.dwr 2 http://192.168.50.167:8081/jcgg2014/dwr/call/plaincall/user.dwrcheckl ogin.dwr 9 http://192.168.50.167:8081/jcgg2014/dwr/call/plaincall/user.checkPws .dwr 18 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion 19 http://192.168.50.167:8081/jcgg2014/ExportExcelexportExcelTemplet. action 2014/12/11 17:04:11 12/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 20 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion agopassword 21 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion upassword_c 22 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion password 跨站点请求伪造 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 应用程序使用的认证方法不充分 修复任务: 拒绝恶意请求 问题: 问题标识 URL 参数/cookie 23 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action 2014/12/11 17:04:11 13/101 链接注入(便于跨站请求伪造) 安全风险 - 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 30 http://192.168.50.167:8081/jcgg2014/mtc.jsp p 跨站点脚本编制 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 31 http://192.168.50.167:8081/jcgg2014/mtc.jsp p 2014/12/11 17:04:11 14/101 链接注入(便于跨站请求伪造) 安全风险 - 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 32 http://192.168.50.167:8081/jcgg2014/jsp/sys/group/left.jsp lefttree 跨站点脚本编制 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 33 http://192.168.50.167:8081/jcgg2014/jsp/sys/group/left.jsp lefttree 2014/12/11 17:04:11 15/101 链接注入(便于跨站请求伪造) 安全风险 - 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 34 http://192.168.50.167:8081/jcgg2014/jsp/sys/group/left.jsp permission 跨站点脚本编制 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 35 http://192.168.50.167:8081/jcgg2014/jsp/sys/group/left.jsp permission 2014/12/11 17:04:11 16/101 跨站点请求伪造 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 应用程序使用的认证方法不充分 修复任务: 拒绝恶意请求 问题: 问题标识 URL 参数/cookie 36 http://192.168.50.167:8081/jcgg2014/mtc.jsp 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 38 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 2014/12/11 17:04:11 17/101 问题标识 URL 参数/cookie 39 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action 链接注入(便于跨站请求伪造) 安全风险 - 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 40 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action uname_c 跨站点脚本编制 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 41 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action uname_c 2014/12/11 17:04:11 18/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 42 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action upassword_c 43 http://192.168.50.167:8081/jcgg2014/sbsjupdate.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 44 http://192.168.50.167:8081/jcgg2014/sbsjupdate.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 2014/12/11 17:04:11 19/101 问题标识 URL 参数/cookie 45 http://192.168.50.167:8081/jcgg2014/sbsjupdate.action upassword_c 46 http://192.168.50.167:8081/jcgg2014/sbsjtoupdate.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 47 http://192.168.50.167:8081/jcgg2014/sbsjtoupdate.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 48 http://192.168.50.167:8081/jcgg2014/sjsbsearch.action 2014/12/11 17:04:11 20/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 49 http://192.168.50.167:8081/jcgg2014/sjsbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 50 http://192.168.50.167:8081/jcgg2014/tkzzzrcsmszbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 2014/12/11 17:04:11 21/101 问题标识 URL 参数/cookie 51 http://192.168.50.167:8081/jcgg2014/tkzzzrcsmszbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 52 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslzbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 53 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslzbsearch.action 2014/12/11 17:04:11 22/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 54 http://192.168.50.167:8081/jcgg2014/sbsjtoupdate.action upassword_c 55 http://192.168.50.167:8081/jcgg2014/sjsbsearch.action upassword_c 56 http://192.168.50.167:8081/jcgg2014/tkzzzrcsmszbsearch.action upassword_c 57 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslzbsearch.action upassword_c 58 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 59 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbsearch.action 2014/12/11 17:04:11 23/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 60 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 61 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 24/101 62 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 63 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 64 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlnszbsearch.action 2014/12/11 17:04:11 25/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 65 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlnszbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 66 http://192.168.50.167:8081/jcgg2014/tkzznssywdcsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 2014/12/11 17:04:11 26/101 问题标识 URL 参数/cookie 67 http://192.168.50.167:8081/jcgg2014/tkzznssywdcsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 68 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 69 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsearch.action 2014/12/11 17:04:11 27/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 70 http://192.168.50.167:8081/jcgg2014/checkcheckStatus.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 71 http://192.168.50.167:8081/jcgg2014/checkcheckStatus.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 28/101 72 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbsearch.action upassword_c 73 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbsearch.action upassword_c 74 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczbsearch.action upassword_c 75 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlnszbsearch.action upassword_c 76 http://192.168.50.167:8081/jcgg2014/tkzznssywdcsearch.action upassword_c 77 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsearch.action upassword_c 78 http://192.168.50.167:8081/jcgg2014/checkcheckStatus.action upassword_c 79 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 80 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 81 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszbsearch.action 2014/12/11 17:04:11 29/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 82 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 83 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbsearch.action 2014/12/11 17:04:11 30/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 84 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 85 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 2014/12/11 17:04:11 31/101 问题标识 URL 参数/cookie 86 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 87 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzbfgdzbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 88 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzbfgdzbsearch.action 2014/12/11 17:04:11 32/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 89 http://192.168.50.167:8081/jcgg2014/tqxzsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 90 http://192.168.50.167:8081/jcgg2014/tqxzsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 33/101 91 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 92 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 93 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszbsearch.action upassword_c 94 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszbsearch.action upassword_c 95 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbsearch.action upassword_c 96 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsearch.action upassword_c 97 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzbfgdzbsearch.action upassword_c 98 http://192.168.50.167:8081/jcgg2014/tqxzsearch.action upassword_c 99 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdsearch.action upassword_c 100 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksearch.action 2014/12/11 17:04:11 34/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 101 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 102 http://192.168.50.167:8081/jcgg2014/qxzjygczlzbsearch.action 2014/12/11 17:04:11 35/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 103 http://192.168.50.167:8081/jcgg2014/qxzjygczlzbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 104 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 2014/12/11 17:04:11 36/101 问题标识 URL 参数/cookie 105 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 106 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 107 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbsearch.action 2014/12/11 17:04:11 37/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 108 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksearch.action upassword_c 109 http://192.168.50.167:8081/jcgg2014/qxzjygczlzbsearch.action upassword_c 110 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsearch.action upassword_c 111 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbsearch.action upassword_c 112 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 113 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbsearch.action 2014/12/11 17:04:11 38/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 114 http://192.168.50.167:8081/jcgg2014/userstyle2.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 115 http://192.168.50.167:8081/jcgg2014/userstyle2.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 39/101 116 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbsearch.action upassword_c 117 http://192.168.50.167:8081/jcgg2014/userstyle2.action upassword_c 118 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 119 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 120 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.action upassword_c 121 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion 2014/12/11 17:04:11 40/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 122 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 123 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 2014/12/11 17:04:11 41/101 问题标识 URL 参数/cookie 124 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 125 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action upassword_c 126 http://192.168.50.167:8081/jcgg2014/jsp/sys/userstyle.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 127 http://192.168.50.167:8081/jcgg2014/jsp/sys/userstyle.action 2014/12/11 17:04:11 42/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 128 http://192.168.50.167:8081/jcgg2014/roleSetTree.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 129 http://192.168.50.167:8081/jcgg2014/roleSetTree.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 43/101 130 http://192.168.50.167:8081/jcgg2014/groupsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 131 http://192.168.50.167:8081/jcgg2014/groupsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 132 http://192.168.50.167:8081/jcgg2014/jsp/sys/userstyle.action upassword_c 133 http://192.168.50.167:8081/jcgg2014/roleSetTree.action upassword_c 134 http://192.168.50.167:8081/jcgg2014/groupsearch.action upassword_c 135 http://192.168.50.167:8081/jcgg2014/menuSetTree.action 2014/12/11 17:04:11 44/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 136 http://192.168.50.167:8081/jcgg2014/menuSetTree.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 137 http://192.168.50.167:8081/jcgg2014/groupSetTree.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 2014/12/11 17:04:11 45/101 问题标识 URL 参数/cookie 138 http://192.168.50.167:8081/jcgg2014/groupSetTree.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 139 http://192.168.50.167:8081/jcgg2014/jsp/sys/menu/menusearch.actio n 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 140 http://192.168.50.167:8081/jcgg2014/jsp/sys/menu/menusearch.actio n 2014/12/11 17:04:11 46/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 141 http://192.168.50.167:8081/jcgg2014/menuSetTree.action upassword_c 142 http://192.168.50.167:8081/jcgg2014/groupSetTree.action upassword_c 143 http://192.168.50.167:8081/jcgg2014/jsp/sys/menu/menusearch.actio n upassword_c 跨站点请求伪造 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 应用程序使用的认证方法不充分 修复任务: 拒绝恶意请求 问题: 问题标识 URL 参数/cookie 144 http://192.168.50.167:8081/jcgg2014/user_loginexitsys.action 4) Insecure direct object reference (A4) 3 问题 2014/12/11 17:04:11 47/101 检测到应用程序测试脚本 安全风险 - 可能会下载临时脚本文件,这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信 息 原因: - 在生产环境中留下临时文件 修复任务: 除去服务器中的测试脚本 问题: 问题标识 URL 参数/cookie 4 http://192.168.50.167:8081/jcgg2014/ HTML 注释敏感信息泄露 安全风险 - 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置 原因: - 程序员在 Web 页面上留下调试信息 修复任务: 除去 HTML 注释中的敏感信息 问题: 问题标识 URL 参数/cookie 17 http://192.168.50.167:8081/jcgg2014/loginAdmin.jsp 25 http://192.168.50.167:8081/jcgg2014/jsp/sys/top.jsp 5) Cross site request forgery (CSRF) (A5) 123 问题 2014/12/11 17:04:11 48/101 跨站点请求伪造 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 应用程序使用的认证方法不充分 修复任务: 拒绝恶意请求 问题: 问题标识 URL 参数/cookie 1 http://192.168.50.167:8081/jcgg2014/dwr/call/plaincall/menutree.getcd s.dwr 2 http://192.168.50.167:8081/jcgg2014/dwr/call/plaincall/user.dwrcheckl ogin.dwr 9 http://192.168.50.167:8081/jcgg2014/dwr/call/plaincall/user.checkPws .dwr 18 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion 19 http://192.168.50.167:8081/jcgg2014/ExportExcelexportExcelTemplet. action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 20 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion agopassword 21 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion upassword_c 22 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion password 2014/12/11 17:04:11 49/101 跨站点请求伪造 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 应用程序使用的认证方法不充分 修复任务: 拒绝恶意请求 问题: 问题标识 URL 参数/cookie 23 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action 链接注入(便于跨站请求伪造) 安全风险 - 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 30 http://192.168.50.167:8081/jcgg2014/mtc.jsp p 2014/12/11 17:04:11 50/101 跨站点脚本编制 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 31 http://192.168.50.167:8081/jcgg2014/mtc.jsp p 链接注入(便于跨站请求伪造) 安全风险 - 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 32 http://192.168.50.167:8081/jcgg2014/jsp/sys/group/left.jsp lefttree 2014/12/11 17:04:11 51/101 跨站点脚本编制 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 33 http://192.168.50.167:8081/jcgg2014/jsp/sys/group/left.jsp lefttree 链接注入(便于跨站请求伪造) 安全风险 - 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 34 http://192.168.50.167:8081/jcgg2014/jsp/sys/group/left.jsp permission 2014/12/11 17:04:11 52/101 跨站点脚本编制 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 35 http://192.168.50.167:8081/jcgg2014/jsp/sys/group/left.jsp permission 跨站点请求伪造 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 应用程序使用的认证方法不充分 修复任务: 拒绝恶意请求 问题: 问题标识 URL 参数/cookie 36 http://192.168.50.167:8081/jcgg2014/mtc.jsp 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 2014/12/11 17:04:11 53/101 问题标识 URL 参数/cookie 38 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 39 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action 链接注入(便于跨站请求伪造) 安全风险 - 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 40 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action uname_c 2014/12/11 17:04:11 54/101 跨站点脚本编制 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 41 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action uname_c 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 42 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action upassword_c 43 http://192.168.50.167:8081/jcgg2014/sbsjupdate.action 2014/12/11 17:04:11 55/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 44 http://192.168.50.167:8081/jcgg2014/sbsjupdate.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 45 http://192.168.50.167:8081/jcgg2014/sbsjupdate.action upassword_c 46 http://192.168.50.167:8081/jcgg2014/sbsjtoupdate.action 2014/12/11 17:04:11 56/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 47 http://192.168.50.167:8081/jcgg2014/sbsjtoupdate.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 48 http://192.168.50.167:8081/jcgg2014/sjsbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 2014/12/11 17:04:11 57/101 问题标识 URL 参数/cookie 49 http://192.168.50.167:8081/jcgg2014/sjsbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 50 http://192.168.50.167:8081/jcgg2014/tkzzzrcsmszbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 51 http://192.168.50.167:8081/jcgg2014/tkzzzrcsmszbsearch.action 2014/12/11 17:04:11 58/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 52 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslzbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 53 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslzbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 59/101 54 http://192.168.50.167:8081/jcgg2014/sbsjtoupdate.action upassword_c 55 http://192.168.50.167:8081/jcgg2014/sjsbsearch.action upassword_c 56 http://192.168.50.167:8081/jcgg2014/tkzzzrcsmszbsearch.action upassword_c 57 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslzbsearch.action upassword_c 58 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 59 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 60 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbsearch.action 2014/12/11 17:04:11 60/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 61 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 62 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 2014/12/11 17:04:11 61/101 问题标识 URL 参数/cookie 63 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 64 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlnszbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 65 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlnszbsearch.action 2014/12/11 17:04:11 62/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 66 http://192.168.50.167:8081/jcgg2014/tkzznssywdcsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 67 http://192.168.50.167:8081/jcgg2014/tkzznssywdcsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 63/101 68 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 69 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 70 http://192.168.50.167:8081/jcgg2014/checkcheckStatus.action 2014/12/11 17:04:11 64/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 71 http://192.168.50.167:8081/jcgg2014/checkcheckStatus.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 72 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbsearch.action upassword_c 73 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbsearch.action upassword_c 74 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczbsearch.action upassword_c 75 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlnszbsearch.action upassword_c 76 http://192.168.50.167:8081/jcgg2014/tkzznssywdcsearch.action upassword_c 77 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsearch.action upassword_c 78 http://192.168.50.167:8081/jcgg2014/checkcheckStatus.action upassword_c 79 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszbsearch.action 2014/12/11 17:04:11 65/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 80 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 81 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 2014/12/11 17:04:11 66/101 问题标识 URL 参数/cookie 82 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 83 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 84 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbsearch.action 2014/12/11 17:04:11 67/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 85 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 86 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 68/101 87 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzbfgdzbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 88 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzbfgdzbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 89 http://192.168.50.167:8081/jcgg2014/tqxzsearch.action 2014/12/11 17:04:11 69/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 90 http://192.168.50.167:8081/jcgg2014/tqxzsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 91 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 2014/12/11 17:04:11 70/101 问题标识 URL 参数/cookie 92 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 93 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszbsearch.action upassword_c 94 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszbsearch.action upassword_c 95 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbsearch.action upassword_c 96 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsearch.action upassword_c 97 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzbfgdzbsearch.action upassword_c 98 http://192.168.50.167:8081/jcgg2014/tqxzsearch.action upassword_c 99 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdsearch.action upassword_c 100 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 71/101 101 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 102 http://192.168.50.167:8081/jcgg2014/qxzjygczlzbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 103 http://192.168.50.167:8081/jcgg2014/qxzjygczlzbsearch.action 2014/12/11 17:04:11 72/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 104 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 105 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 73/101 106 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 107 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 108 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksearch.action upassword_c 109 http://192.168.50.167:8081/jcgg2014/qxzjygczlzbsearch.action upassword_c 110 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsearch.action upassword_c 111 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbsearch.action upassword_c 112 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbsearch.action 2014/12/11 17:04:11 74/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 113 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 114 http://192.168.50.167:8081/jcgg2014/userstyle2.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 2014/12/11 17:04:11 75/101 问题标识 URL 参数/cookie 115 http://192.168.50.167:8081/jcgg2014/userstyle2.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 116 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbsearch.action upassword_c 117 http://192.168.50.167:8081/jcgg2014/userstyle2.action upassword_c 118 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 119 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.action 2014/12/11 17:04:11 76/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 120 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.action upassword_c 121 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 122 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion 2014/12/11 17:04:11 77/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 123 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 124 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 78/101 125 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action upassword_c 126 http://192.168.50.167:8081/jcgg2014/jsp/sys/userstyle.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 127 http://192.168.50.167:8081/jcgg2014/jsp/sys/userstyle.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 128 http://192.168.50.167:8081/jcgg2014/roleSetTree.action 2014/12/11 17:04:11 79/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 129 http://192.168.50.167:8081/jcgg2014/roleSetTree.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 130 http://192.168.50.167:8081/jcgg2014/groupsearch.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 2014/12/11 17:04:11 80/101 问题标识 URL 参数/cookie 131 http://192.168.50.167:8081/jcgg2014/groupsearch.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 132 http://192.168.50.167:8081/jcgg2014/jsp/sys/userstyle.action upassword_c 133 http://192.168.50.167:8081/jcgg2014/roleSetTree.action upassword_c 134 http://192.168.50.167:8081/jcgg2014/groupsearch.action upassword_c 135 http://192.168.50.167:8081/jcgg2014/menuSetTree.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 136 http://192.168.50.167:8081/jcgg2014/menuSetTree.action 2014/12/11 17:04:11 81/101 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 137 http://192.168.50.167:8081/jcgg2014/groupSetTree.action 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 138 http://192.168.50.167:8081/jcgg2014/groupSetTree.action 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 82/101 139 http://192.168.50.167:8081/jcgg2014/jsp/sys/menu/menusearch.actio n 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 140 http://192.168.50.167:8081/jcgg2014/jsp/sys/menu/menusearch.actio n 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 141 http://192.168.50.167:8081/jcgg2014/menuSetTree.action upassword_c 142 http://192.168.50.167:8081/jcgg2014/groupSetTree.action upassword_c 143 http://192.168.50.167:8081/jcgg2014/jsp/sys/menu/menusearch.actio n upassword_c 2014/12/11 17:04:11 83/101 跨站点请求伪造 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - 应用程序使用的认证方法不充分 修复任务: 拒绝恶意请求 问题: 问题标识 URL 参数/cookie 144 http://192.168.50.167:8081/jcgg2014/user_loginexitsys.action 6) Security Misconfiguration (A6) 41 问题 检测到应用程序测试脚本 安全风险 - 可能会下载临时脚本文件,这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信 息 原因: - 在生产环境中留下临时文件 修复任务: 除去服务器中的测试脚本 问题: 问题标识 URL 参数/cookie 4 http://192.168.50.167:8081/jcgg2014/ 2014/12/11 17:04:11 84/101 发现内部 IP 泄露模式 安全风险 - 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置 原因: - Web 应用程序编程或配置不安全 修复任务: 除去 Web 站点中的内部 IP 地址 问题: 问题标识 URL 参数/cookie 7 http://192.168.50.167:8081/jcgg2014/down.jsp 8 http://192.168.50.167:8081/jcgg2014/top.jsp 16 http://192.168.50.167:8081/jcgg2014/index.jsp 潜在文件上载 安全风险 - 可能会在 Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - Web 应用程序编程或配置不安全 修复任务: 在文件上传过程中限制用户的能力和许可权 问题: 问题标识 URL 参数/cookie 24 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action userfile_ 37 http://192.168.50.167:8081/jcgg2014/mtc.jsp upload 2014/12/11 17:04:11 85/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 39 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action 44 http://192.168.50.167:8081/jcgg2014/sbsjupdate.action 47 http://192.168.50.167:8081/jcgg2014/sbsjtoupdate.action 49 http://192.168.50.167:8081/jcgg2014/sjsbsearch.action 51 http://192.168.50.167:8081/jcgg2014/tkzzzrcsmszbsearch.action 53 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslzbsearch.action 59 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbsearch.action 61 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbsearch.action 63 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczbsearch.action 65 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlnszbsearch.action 67 http://192.168.50.167:8081/jcgg2014/tkzznssywdcsearch.action 69 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsearch.action 71 http://192.168.50.167:8081/jcgg2014/checkcheckStatus.action 80 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszbsearch.action 82 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszbsearch.action 84 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbsearch.action 86 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsearch.action 88 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzbfgdzbsearch.action 90 http://192.168.50.167:8081/jcgg2014/tqxzsearch.action 92 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdsearch.action 101 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksearch.action 103 http://192.168.50.167:8081/jcgg2014/qxzjygczlzbsearch.action 2014/12/11 17:04:11 86/101 105 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsearch.action 107 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbsearch.action 113 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbsearch.action 115 http://192.168.50.167:8081/jcgg2014/userstyle2.action 119 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.action 122 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion 124 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action 127 http://192.168.50.167:8081/jcgg2014/jsp/sys/userstyle.action 129 http://192.168.50.167:8081/jcgg2014/roleSetTree.action 131 http://192.168.50.167:8081/jcgg2014/groupsearch.action 136 http://192.168.50.167:8081/jcgg2014/menuSetTree.action 138 http://192.168.50.167:8081/jcgg2014/groupSetTree.action 140 http://192.168.50.167:8081/jcgg2014/jsp/sys/menu/menusearch.actio n 7) Insecure cryptographic storage (A7) 77 问题 发现内部 IP 泄露模式 安全风险 - 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置 原因: - Web 应用程序编程或配置不安全 修复任务: 除去 Web 站点中的内部 IP 地址 问题: 问题标识 URL 参数/cookie 7 http://192.168.50.167:8081/jcgg2014/down.jsp 8 http://192.168.50.167:8081/jcgg2014/top.jsp 16 http://192.168.50.167:8081/jcgg2014/index.jsp 2014/12/11 17:04:11 87/101 HTML 注释敏感信息泄露 安全风险 - 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置 原因: - 程序员在 Web 页面上留下调试信息 修复任务: 除去 HTML 注释中的敏感信息 问题: 问题标识 URL 参数/cookie 17 http://192.168.50.167:8081/jcgg2014/loginAdmin.jsp 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 20 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion agopassword 21 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion upassword_c 22 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion password 2014/12/11 17:04:11 88/101 HTML 注释敏感信息泄露 安全风险 - 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置 原因: - 程序员在 Web 页面上留下调试信息 修复任务: 除去 HTML 注释中的敏感信息 问题: 问题标识 URL 参数/cookie 25 http://192.168.50.167:8081/jcgg2014/jsp/sys/top.jsp 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 38 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action 42 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action upassword_c 43 http://192.168.50.167:8081/jcgg2014/sbsjupdate.action 45 http://192.168.50.167:8081/jcgg2014/sbsjupdate.action upassword_c 46 http://192.168.50.167:8081/jcgg2014/sbsjtoupdate.action 48 http://192.168.50.167:8081/jcgg2014/sjsbsearch.action 50 http://192.168.50.167:8081/jcgg2014/tkzzzrcsmszbsearch.action 52 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslzbsearch.action 54 http://192.168.50.167:8081/jcgg2014/sbsjtoupdate.action upassword_c 55 http://192.168.50.167:8081/jcgg2014/sjsbsearch.action upassword_c 56 http://192.168.50.167:8081/jcgg2014/tkzzzrcsmszbsearch.action upassword_c 2014/12/11 17:04:11 89/101 57 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslzbsearch.action upassword_c 58 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbsearch.action 60 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbsearch.action 62 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczbsearch.action 64 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlnszbsearch.action 66 http://192.168.50.167:8081/jcgg2014/tkzznssywdcsearch.action 68 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsearch.action 70 http://192.168.50.167:8081/jcgg2014/checkcheckStatus.action 72 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbsearch.action upassword_c 73 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbsearch.action upassword_c 74 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczbsearch.action upassword_c 75 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlnszbsearch.action upassword_c 76 http://192.168.50.167:8081/jcgg2014/tkzznssywdcsearch.action upassword_c 77 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsearch.action upassword_c 78 http://192.168.50.167:8081/jcgg2014/checkcheckStatus.action upassword_c 79 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszbsearch.action 81 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszbsearch.action 83 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbsearch.action 85 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsearch.action 87 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzbfgdzbsearch.action 89 http://192.168.50.167:8081/jcgg2014/tqxzsearch.action 91 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdsearch.action 93 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszbsearch.action upassword_c 94 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszbsearch.action upassword_c 95 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbsearch.action upassword_c 96 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsearch.action upassword_c 97 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzbfgdzbsearch.action upassword_c 98 http://192.168.50.167:8081/jcgg2014/tqxzsearch.action upassword_c 99 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdsearch.action upassword_c 100 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksearch.action 102 http://192.168.50.167:8081/jcgg2014/qxzjygczlzbsearch.action 104 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsearch.action 2014/12/11 17:04:11 90/101 106 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbsearch.action 108 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksearch.action upassword_c 109 http://192.168.50.167:8081/jcgg2014/qxzjygczlzbsearch.action upassword_c 110 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsearch.action upassword_c 111 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbsearch.action upassword_c 112 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbsearch.action 114 http://192.168.50.167:8081/jcgg2014/userstyle2.action 116 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbsearch.action upassword_c 117 http://192.168.50.167:8081/jcgg2014/userstyle2.action upassword_c 118 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.action 120 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.action upassword_c 121 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion 123 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action 125 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action upassword_c 126 http://192.168.50.167:8081/jcgg2014/jsp/sys/userstyle.action 128 http://192.168.50.167:8081/jcgg2014/roleSetTree.action 130 http://192.168.50.167:8081/jcgg2014/groupsearch.action 132 http://192.168.50.167:8081/jcgg2014/jsp/sys/userstyle.action upassword_c 133 http://192.168.50.167:8081/jcgg2014/roleSetTree.action upassword_c 134 http://192.168.50.167:8081/jcgg2014/groupsearch.action upassword_c 135 http://192.168.50.167:8081/jcgg2014/menuSetTree.action 137 http://192.168.50.167:8081/jcgg2014/groupSetTree.action 139 http://192.168.50.167:8081/jcgg2014/jsp/sys/menu/menusearch.actio n 141 http://192.168.50.167:8081/jcgg2014/menuSetTree.action upassword_c 142 http://192.168.50.167:8081/jcgg2014/groupSetTree.action upassword_c 143 http://192.168.50.167:8081/jcgg2014/jsp/sys/menu/menusearch.actio n upassword_c 8) Failure to restrict URL access. (A8) 58 问题 2014/12/11 17:04:11 91/101 启用了不安全的 HTTP 方法 安全风险 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - Web 服务器或应用程序服务器是以不安全的方式配置的 修复任务: 禁用 WebDAV,或者禁止不需要的 HTTP 方法。 问题: 问题标识 URL 参数/cookie 3 http://192.168.50.167:8081/ 检测到应用程序测试脚本 安全风险 - 可能会下载临时脚本文件,这会泄露应用程序逻辑及其他诸如用户名和密码之类的敏感信 息 原因: - 在生产环境中留下临时文件 修复任务: 除去服务器中的测试脚本 问题: 问题标识 URL 参数/cookie 4 http://192.168.50.167:8081/jcgg2014/ 启用了不安全的 HTTP 方法 安全风险 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - Web 服务器或应用程序服务器是以不安全的方式配置的 修复任务: 禁用 WebDAV,或者禁止不需要的 HTTP 方法。 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:11 92/101 5 http://192.168.50.167:8081/jcgg2014/js/ 6 http://192.168.50.167:8081/jcgg2014/js/My97DatePicker/ 发现内部 IP 泄露模式 安全风险 - 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置 原因: - Web 应用程序编程或配置不安全 修复任务: 除去 Web 站点中的内部 IP 地址 问题: 问题标识 URL 参数/cookie 7 http://192.168.50.167:8081/jcgg2014/down.jsp 8 http://192.168.50.167:8081/jcgg2014/top.jsp 启用了不安全的 HTTP 方法 安全风险 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - Web 服务器或应用程序服务器是以不安全的方式配置的 修复任务: 禁用 WebDAV,或者禁止不需要的 HTTP 方法。 问题: 问题标识 URL 参数/cookie 10 http://192.168.50.167:8081/jcgg2014/jsp/ 11 http://192.168.50.167:8081/jcgg2014/jsp/sys/ 12 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/ 13 http://192.168.50.167:8081/jcgg2014/jsp/sbsj/ 14 http://192.168.50.167:8081/jcgg2014/assets/ 15 http://192.168.50.167:8081/jcgg2014/assets/javascripts/ 2014/12/11 17:04:11 93/101 发现内部 IP 泄露模式 安全风险 - 可能会收集有关 Web 应用程序的敏感信息,如用户名、密码、机器名和/或敏感文件位置 原因: - Web 应用程序编程或配置不安全 修复任务: 除去 Web 站点中的内部 IP 地址 问题: 问题标识 URL 参数/cookie 16 http://192.168.50.167:8081/jcgg2014/index.jsp 潜在文件上载 安全风险 - 可能会在 Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - Web 应用程序编程或配置不安全 修复任务: 在文件上传过程中限制用户的能力和许可权 问题: 问题标识 URL 参数/cookie 24 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action userfile_ 启用了不安全的 HTTP 方法 安全风险 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - Web 服务器或应用程序服务器是以不安全的方式配置的 修复任务: 禁用 WebDAV,或者禁止不需要的 HTTP 方法。 问题: 问题标识 URL 参数/cookie 2014/12/11 17:04:12 94/101 26 http://192.168.50.167:8081/jcgg2014/jsp/sys/group/ 27 http://192.168.50.167:8081/jcgg2014/jsp/sys/role/ 28 http://192.168.50.167:8081/jcgg2014/jsp/sys/menu/ 29 http://192.168.50.167:8081/jcgg2014/jsp/sys/js/ 链接注入(便于跨站请求伪造) 安全风险 - 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 30 http://192.168.50.167:8081/jcgg2014/mtc.jsp p 32 http://192.168.50.167:8081/jcgg2014/jsp/sys/group/left.jsp lefttree 34 http://192.168.50.167:8081/jcgg2014/jsp/sys/group/left.jsp permission 潜在文件上载 安全风险 - 可能会在 Web 服务器上运行远程命令。这通常意味着完全破坏服务器及其内容 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - Web 应用程序编程或配置不安全 修复任务: 在文件上传过程中限制用户的能力和许可权 问题: 问题标识 URL 参数/cookie 37 http://192.168.50.167:8081/jcgg2014/mtc.jsp upload 2014/12/11 17:04:12 95/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 39 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action 链接注入(便于跨站请求伪造) 安全风险 - 可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 - 可能会在 Web 服务器上上载、修改或删除 Web 页面、脚文件 原因: - 未对用户输入正确执行危险字符清理 修复任务: 过滤掉用户输入中的危险字符 问题: 问题标识 URL 参数/cookie 40 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action uname_c 2014/12/11 17:04:12 96/101 会话标识未更新 安全风险 - 可能会窃取或操纵客户会话和 cookie,它们可能用于模仿合法用户,从而使黑客能够以该 用户身份查看或变更用户记录以及执行事务 原因: - Web 应用程序编程或配置不安全 修复任务: 不要接受外部创建的会话标识 问题: 问题标识 URL 参数/cookie 44 http://192.168.50.167:8081/jcgg2014/sbsjupdate.action 47 http://192.168.50.167:8081/jcgg2014/sbsjtoupdate.action 49 http://192.168.50.167:8081/jcgg2014/sjsbsearch.action 51 http://192.168.50.167:8081/jcgg2014/tkzzzrcsmszbsearch.action 53 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslzbsearch.action 59 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbsearch.action 61 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbsearch.action 63 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczbsearch.action 65 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlnszbsearch.action 67 http://192.168.50.167:8081/jcgg2014/tkzznssywdcsearch.action 69 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsearch.action 71 http://192.168.50.167:8081/jcgg2014/checkcheckStatus.action 80 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszbsearch.action 82 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszbsearch.action 84 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbsearch.action 86 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsearch.action 88 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzbfgdzbsearch.action 90 http://192.168.50.167:8081/jcgg2014/tqxzsearch.action 92 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdsearch.action 101 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksearch.action 103 http://192.168.50.167:8081/jcgg2014/qxzjygczlzbsearch.action 105 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsearch.action 2014/12/11 17:04:12 97/101 107 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbsearch.action 113 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbsearch.action 115 http://192.168.50.167:8081/jcgg2014/userstyle2.action 119 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.action 122 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion 124 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action 127 http://192.168.50.167:8081/jcgg2014/jsp/sys/userstyle.action 129 http://192.168.50.167:8081/jcgg2014/roleSetTree.action 131 http://192.168.50.167:8081/jcgg2014/groupsearch.action 136 http://192.168.50.167:8081/jcgg2014/menuSetTree.action 138 http://192.168.50.167:8081/jcgg2014/groupSetTree.action 140 http://192.168.50.167:8081/jcgg2014/jsp/sys/menu/menusearch.actio n 9) Insufficient transport layer protection (A9) 72 问题 已解密的登录请求 安全风险 - 可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息 原因: - 诸如用户名、密码和信用卡号之类的敏感输入字段未经加密即进行了传递 修复任务: 发送敏感信息时,始终使用 SSL 和 HTTP POST 方法。 问题: 问题标识 URL 参数/cookie 20 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion agopassword 21 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion upassword_c 22 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion password 38 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action 42 http://192.168.50.167:8081/jcgg2014/user_loginchecklogin.action upassword_c 2014/12/11 17:04:12 98/101 43 http://192.168.50.167:8081/jcgg2014/sbsjupdate.action 45 http://192.168.50.167:8081/jcgg2014/sbsjupdate.action upassword_c 46 http://192.168.50.167:8081/jcgg2014/sbsjtoupdate.action 48 http://192.168.50.167:8081/jcgg2014/sjsbsearch.action 50 http://192.168.50.167:8081/jcgg2014/tkzzzrcsmszbsearch.action 52 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslzbsearch.action 54 http://192.168.50.167:8081/jcgg2014/sbsjtoupdate.action upassword_c 55 http://192.168.50.167:8081/jcgg2014/sjsbsearch.action upassword_c 56 http://192.168.50.167:8081/jcgg2014/tkzzzrcsmszbsearch.action upassword_c 57 http://192.168.50.167:8081/jcgg2014/tkzzzrpjhslzbsearch.action upassword_c 58 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbsearch.action 60 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbsearch.action 62 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczbsearch.action 64 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlnszbsearch.action 66 http://192.168.50.167:8081/jcgg2014/tkzznssywdcsearch.action 68 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsearch.action 70 http://192.168.50.167:8081/jcgg2014/checkcheckStatus.action 72 http://192.168.50.167:8081/jcgg2014/tkzztrhslzbsearch.action upassword_c 73 http://192.168.50.167:8081/jcgg2014/tkzzzrpjllzbsearch.action upassword_c 74 http://192.168.50.167:8081/jcgg2014/tkzzjlnsgczbsearch.action upassword_c 75 http://192.168.50.167:8081/jcgg2014/tkzzzchsjlnszbsearch.action upassword_c 76 http://192.168.50.167:8081/jcgg2014/tkzznssywdcsearch.action upassword_c 77 http://192.168.50.167:8081/jcgg2014/tkzzjbxxsearch.action upassword_c 78 http://192.168.50.167:8081/jcgg2014/checkcheckStatus.action upassword_c 79 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszbsearch.action 81 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszbsearch.action 83 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbsearch.action 85 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsearch.action 87 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzbfgdzbsearch.action 89 http://192.168.50.167:8081/jcgg2014/tqxzsearch.action 91 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdsearch.action 93 http://192.168.50.167:8081/jcgg2014/tjlxqzcjlnszbsearch.action upassword_c 2014/12/11 17:04:12 99/101 94 http://192.168.50.167:8081/jcgg2014/tjlxqznjlnszbsearch.action upassword_c 95 http://192.168.50.167:8081/jcgg2014/tjlxqtjglzbsearch.action upassword_c 96 http://192.168.50.167:8081/jcgg2014/tjlxqjbldsearch.action upassword_c 97 http://192.168.50.167:8081/jcgg2014/tjlxqtrhslhzbfgdzbsearch.action upassword_c 98 http://192.168.50.167:8081/jcgg2014/tqxzsearch.action upassword_c 99 http://192.168.50.167:8081/jcgg2014/tjlxqjbgcdsearch.action upassword_c 100 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksearch.action 102 http://192.168.50.167:8081/jcgg2014/qxzjygczlzbsearch.action 104 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsearch.action 106 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbsearch.action 108 http://192.168.50.167:8081/jcgg2014/tjlxqjbqksearch.action upassword_c 109 http://192.168.50.167:8081/jcgg2014/qxzjygczlzbsearch.action upassword_c 110 http://192.168.50.167:8081/jcgg2014/tjlxqjbxxsearch.action upassword_c 111 http://192.168.50.167:8081/jcgg2014/qxzzrjslzbsearch.action upassword_c 112 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbsearch.action 114 http://192.168.50.167:8081/jcgg2014/userstyle2.action 116 http://192.168.50.167:8081/jcgg2014/tkzznjlnszbsearch.action upassword_c 117 http://192.168.50.167:8081/jcgg2014/userstyle2.action upassword_c 118 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.action 120 http://192.168.50.167:8081/jcgg2014/tjbxxdetail.action upassword_c 121 http://192.168.50.167:8081/jcgg2014/jsp/sys/user/userupdate_pws.act ion 123 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action 125 http://192.168.50.167:8081/jcgg2014/ImportExcelimports.action upassword_c 126 http://192.168.50.167:8081/jcgg2014/jsp/sys/userstyle.action 128 http://192.168.50.167:8081/jcgg2014/roleSetTree.action 130 http://192.168.50.167:8081/jcgg2014/groupsearch.action 132 http://192.168.50.167:8081/jcgg2014/jsp/sys/userstyle.action upassword_c 133 http://192.168.50.167:8081/jcgg2014/roleSetTree.action upassword_c 134 http://192.168.50.167:8081/jcgg2014/groupsearch.action upassword_c 135 http://192.168.50.167:8081/jcgg2014/menuSetTree.action 137 http://192.168.50.167:8081/jcgg2014/groupSetTree.action 2014/12/11 17:04:12 100/101 139 http://192.168.50.167:8081/jcgg2014/jsp/sys/menu/menusearch.actio n 141 http://192.168.50.167:8081/jcgg2014/menuSetTree.action upassword_c 142 http://192.168.50.167:8081/jcgg2014/groupSetTree.action upassword_c 143 http://192.168.50.167:8081/jcgg2014/jsp/sys/menu/menusearch.actio n upassword_c 10) UnvalidatedRedirects and Forwards (A10) 没有问题。 2014/12/11 17:04:12 101/101
还剩100页未读

继续阅读

下载pdf到电脑,查找使用更方便

pdf的实际排版效果,会与网站的显示效果略有不同!!

需要 10 金币 [ 分享pdf获得金币 ] 0 人已下载

下载pdf

pdf贡献者

gengyilong

贡献于2016-09-26

下载需要 10 金币 [金币充值 ]
亲,您也可以通过 分享原创pdf 来获得金币奖励!
下载pdf