网站漏洞整改报告按照国家中华人民共和国计算机信息系统安全保护条例、计算机信息网 络国际联网安全保护管理办法、互联网安全保护技术措施规定等有关法律法 规规定，全面落实互联网安全保护制度和安全保护技术措施，对网站、信息安全 进行了严格漏洞安全检查工作。本次网站安全检查是完全站在攻击者角度，模拟黑客可能使用的攻击技术和 漏洞发现技术进行的安全性测试，通过结合多方面的攻击技术进行测试，发现本 校个别网站系统存在比较明显的可利用的安全漏洞，针对已存在漏洞的系统需要 进行重点加固。本次检查结果和处理方案如下：高危漏洞0个页面 严重漏洞0个贝面 警告漏洞0个贝面 轻微漏洞0个页面 同主机网站安全正常 虚假或欺诈网站正常 挂马或恶意网站正常 恶意篡改正常 敏感内容正常 安全状况安全som.H.edu.c n漏洞类型：SQL 注入/XPath请求方式：POST影响页面：处理方案：通过在Web使用程序中增加通用防注入程序来 防止SQL注入攻击。通用SQL防注入程序通常 在数据库连接文件中被引入，并在程序执行过 程中对常见的GET、POST、Cookie等提交方式 进行过滤处理，拦截可能存在的SQL注入攻击。sysc.BHpi.edu.c n漏洞类型：，。3主入/XPath、XSS跨站脚本攻击请求方式：POST影响页面：处理方案：此网站已经新做，新版正测试中，马上投入使 用。PU.edu.cn:80/jp2005/O8漏洞类型：XSS跨站脚本攻击漏洞证据：alert(42873)影响页面：mt873)处理方案：方案一：站在安全的角度看，必须过滤用户输 入的危险数据，默认用户所有的输入数据都是 不安全的，根据自身网站程序做代码修改。 方案二：使用防护脚本。(附代码) %Code by safe3On Error Resume Nextifrequest.querystringthencallstophacker(request.querystring,|*?|A+/ v(8|9)|b(and|or)b.+?(| = |binb|blikeb)|/ *.+?*/|s*scriptb|bEXECb|UNION.+?SELEC T|UPDATE.+?SET|INSERTs+INTO.+?VALUES|(SEL ECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TR UNCATE)s+(TABLE|DATABASE)if Request.ServerVariables(HTTP_REFERER)” thencalltest(Request.ServerVariables(HTTP_REFERER), |b(and|or)b.+?(| = |binb|blikeb)|/*.+? */|s*scriptb|bEXECb|UNION.+?SELECT|UPD ATE.+?SET|INSERTs+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE )s+(TABLE|DATABASE) if request.Cookies then call stophacker(request.Cookies,b(and|or)b.1,6?( = |binb|blikeb)|/*.+?*/|binb|blikeb)|/*.+?*/|s*s criptb|s*imgb|bEXECb|UNION.+?SELECT|U PDATE.+?SET|INSERTs+INTO.+?VALUES|(SELECT |DELETE).+?FROM|(CREATE|ALTER|DROP|TRUN CATE)s+(TABLE|DATABASE) function test(values,re) dim regex set regex=new regexp regex.ignorecase = true regex.global = true regex.pattern = re if regex.test(values) thenIP=Request.ServerVariables(HTTP_X_FORWARDE D_FOR)If IP =ThenIP=Request.ServerVariables(REMOTE_ADDR) end ifslog(操作 IP: &ip&操作时间： & now() & 操作页面：&Request.ServerVariables(URL)&提交方 式：&Request.ServerVariables(Request_Method)& 提交参数：&l_get&提交数据： &l_get2)Response.Write(您 的提交带有不合法参数，谢谢合作!)Response.endend ifset regex = nothingend functionfunction stophacker(values,re)dim l_get, l_get2,n_get,regex,IPfor each n_get in valuesfor each l_get in valuesl_get2 = values(l_get)set regex = new regexpregex.ignorecase = trueregex.global = trueregex.pattern = reif regex.test(l_get2) thenIP=Request.ServerVariables(HTTP_X_FORWARDE D_FOR)If IP = ThenIP=Request.ServerVariables(REMOTE_ADDR) end ifslog(操作 IP: &ip&操作时间： & now() & 操作页面：&Request.ServerVariables(URL)&提交方 式：&Request.ServerVariables(Request_Method)& 提交参数：&l_get&提交数据： &l_get2)Response.Write(您 的提交带有不合法参数，谢谢合 作!)Response.endend ifset regex = nothingnextnextend function sub slog(logs)dim toppath,fs,Tstoppath = Server.Mappath(/log.htm)Set fs =CreateObject(scripting.”)IfNotFs.(toppath) ThenSetTs = fs.createtext, True)Ts.closeend ifSetTs= Fs.OpenText)Ts.writeline (logs)Ts.CloseSetTs=nothingSetfs=nothingend sub%info.HIU.edu.cn漏洞类型：XSS跨站脚本攻击漏洞证据：alert(42873)影响页面：H-;alert(4HH|;n处理方案：方案一：站在安全的角度看，必须过滤用户输 入的危险数据，默认用户所有的输入数据都是不安全的，根据自身网站程序做代码修改。 方案二：使用防护脚本。输入资料过滤%Stringmessage=request.getParameter(message); message = message.replace (,); message = message.replace (,);message = message.replace (,); message = message.replace (/,);message = message.replace (%,); message = message.replace (;,);message = message.replace (,); message = message.replace (),);message = message.replace (&,); message = message.replace (+,_);out.print(message);%rei.fHH.edu.cn漏洞类型：SQL注入漏洞（盲注）漏洞证据：Injection Type: StringDatabase Type: Access影响页面：处理方案：1. 在网页代码中需要对用户输入的数据进行严格过滤。（代码如info.nH.edu.cn）2. 部署Web使用防火墙3. 对数据库操作进行监控通过本次网站安全检查，发现使用学校统一的站群做的网站都没有问题，发 现问题的都是各部门自建的网站，以后要加强安全管理宣传，自建网站逐步过渡 到统一的站群管理系统以方便安全管理。进一步规范管理，加强检查。不断完善细化信息公开内容，增加发布信息量，提高数据的及时性、准确性，增强服务意 识，推动各项工作健康有序发展。