WEB扫描类产品测试--AppScan-WVS-WebRavor(6)
来源:互联网 发布:淘宝服装店进货渠道 编辑:程序博客网 时间:2024/06/09 17:41
3.2.3 WebRaovr弱点统计与分析
WebRavor弱点分类按照危急、高、中、低四种等级进行分类。SQL注入、Access数据文件泄漏等攻击者可以直接利用或者获取有价值信息的弱点归为危急等级;弱密码、跨站等需要攻击者进一步操作的弱点放在高等级;后台管理目录、目录泄漏可以为攻击者入侵提供有价值信息的弱点为中等级;需要攻击者去判断信息是否有价值的弱点、需要配合其他弱点共同利用的弱点和对应用系统危害很低的弱点归为低等级。 WebRavor能够自动从SQL注入点获取数据库的名称和连接用户名,为弱点的存在提供直接的证据,使用起来很方便。
测试站点
WebRavor
危急
高
中
testphp.acunetix.com
SQL注入7个,合计7个;7/7=100%。
跨站7个,合计7个;7/7=100%。
登录页面1个,备份页面1个,SQL错误信息3个,物理路径泄漏3个,合计8个;8/8=100%。
demo.testfire.net
跨站4个,存在弱密码或者可以被绕过1个,合计5个;5/5=100%。
目录泄漏1个,合计1个;1/1=100%。
demo.webravor.com
TOMCAT管理端弱密码1个,SQL注入3个,合计4个;4/4=100%。
弱密码或者可以被绕过1个,跨站1个,合计2个;2/2=100%。
默认目录2个,登录页面2个,目录泄漏11个,合计15个;15/15=100%
www.target.com
Access数据库文件2个,web允许写1个,sql注入9个,合计12个;12/12=100%。
EWebEditor数据库文件1个,EWebEditor缺陷1个,跨站弱点9个,服务端信任跨越弱点1个,合计12个。
测试页面1个,发现后台管理目录1个,登陆页面4个,目录泄漏27个,备份页面1个,路径跨越1个,SQL错误信息泄漏1个,合计36个;36/36=100%。
3.2.3.1 整体状况
3.2.3.2 弱点分析
1.危急弱点:
SQL注入可以自动获取后台数据库的名称和连接用户名,证明弱点的真实存在。
“TOMCAT管理端弱密码”可以使用TOMCAT的弱密码登录后台。
“Access数据文件泄漏”直接下载格式为mdb的数据库文件。
2.高等级弱点:
“跨站脚本攻击”,WebRavor和WVS都很准确,只有AppScan存在一定误报。
“存在弱密码或者可以被绕过”可以直接导致攻击者绕过身份验证进入到应用系统。
“EWebEditor数据库文件”攻击者可以直接获取数据库文件。
“服务端信任跨越弱点”被攻击者用于钓鱼。
3.中等级弱点:
“后台管理目录”、“登录页面”可以被攻击者利用,“目录泄漏”、“备份页面”、“路径跨越”需要对弱点的价值进行验证。
0 0
- WEB扫描类产品测试--AppScan-WVS-WebRavor(6)
- WEB扫描类产品测试--AppScan-WVS-WebRavor(4)
- WEB扫描类产品测试--AppScan-WVS-WebRavor(3)
- WEB扫描类产品测试--AppScan-WVS-WebRavor(2)
- WEB扫描类产品测试--AppScan-WVS-WebRavor(1)
- WEB扫描类产品测试--AppScan-WVS-WebRavor(5)
- WEB扫描类产品测试--AppScan-WVS-WebRavor(7)
- WEB扫描类产品测试--AppScan-WVS-WebRavor(8)
- WEB扫描类产品测试--AppScan-WVS-WebRavor(9)
- AppScan系列——web安全测试---AppScan扫描工具
- Web安全测试-----AppScan扫描工具
- web安全测试---AppScan扫描工具
- web安全测试---AppScan扫描工具
- web安全测试---AppScan扫描工具
- web安全测试---AppScan扫描工具
- 渗透测试之漏洞扫描WVS篇
- 安全测试---AppScan扫描工具
- AppScan--图解web扫描工具IBM Security AppScan Standard
- 怪物形象设计要素
- Java Classloader机制解析
- [杂记]Android开发一些容易忘记的API
- html5常用属性总结
- Java网络连接之HttpURLConnection与HttpClient 区别及联系
- WEB扫描类产品测试--AppScan-WVS-WebRavor(6)
- Android常用布局样式介绍
- eclipse提示找不到类的解决方法
- Difference between new and [[alloc]init] in iOS
- twitter官方Android sdk部署方法
- fir.im Weekly - 2015 年开发者调查报告
- svm学后理解
- WEB扫描类产品测试--AppScan-WVS-WebRavor(7)
- 移动H5前端性能优化指南