網站高危漏洞有:
1.SQL注入漏洞:網站程序沒有對輸入字符串中包含的SQL語句進行檢查,使得包含的SQL語句被數據庫誤認為是合法的SQL指令而運行,導致數據庫中各種敏感數據被盜取、更改或刪除。
2.XSS跨站腳本漏洞:網站程序忽略了對輸入字符串中特殊字符與字符串(如<>'”<script><iframe>onload)的檢查,使得攻擊者可以欺騙用戶訪問包含惡意JavaScript代碼的頁面,使得惡意代碼在用戶瀏覽器中執行,從而導致目標用戶權限被盜取或數據被篡改。
3.頁面存在源代碼泄露:會導致網站服務的關鍵邏輯、配置的賬號密碼泄露,攻擊者利用該信息可以更容易得到網站權限,導致網站被黑。
4.網站存在備份文件:網站存在備份文件,例如數據庫備份文件、網站源碼備份文件等,攻擊者利用該信息可以更容易得到網站權限,導致網站被黑。
5.網站存在包含SVN信息的文件:網站存在包含SVN信息的文件,這是網站源碼的版本控制器私有文件,里面包含SVN服務的地址、提交的私有文件名、SVN用戶名等信息,該信息有助于攻擊者更全面了解網站的架構,為攻擊者釣魚網站提供幫助。
6.網站存在Resin任意文件讀取漏洞:安裝某些版本Resin服務器的網站存在可讀取任意文件的漏洞,攻擊者利用該漏洞可以讀取網站服務器的任意文件內容,導致網站被黑。
