域名預(yù)訂/競(jìng)價(jià)，好“米”不錯(cuò)過(guò)

百度站長(zhǎng)平臺(tái)推出重磅站長(zhǎng)安全工具——漏洞檢測(cè)工具，該工具可以檢測(cè)網(wǎng)站存在哪些風(fēng)險(xiǎn)，并能根據(jù)不同的風(fēng)險(xiǎn)給出詳細(xì)的修復(fù)建議及該風(fēng)險(xiǎn)的危險(xiǎn)等級(jí)，主要漏洞類型見(jiàn)下方介紹。為了保證網(wǎng)站的安全運(yùn)營(yíng)，建議您定期使用該工具對(duì)網(wǎng)站進(jìn)行漏洞檢測(cè)。

國(guó)內(nèi)超三分之二網(wǎng)站存在高危漏洞

百度安全聯(lián)盟合作伙伴知道創(chuàng)宇旗下的安全工具Scanv及加速樂(lè)監(jiān)測(cè)到國(guó)內(nèi)有高危漏洞的網(wǎng)站占全網(wǎng)的三分之二以上，每天防護(hù)的僵尸網(wǎng)絡(luò)攻擊高達(dá)1億余次。如果網(wǎng)站的漏洞由于未及時(shí)修復(fù)導(dǎo)致被黑客利用入侵，必然會(huì)嚴(yán)重影響網(wǎng)站的用戶體驗(yàn)及網(wǎng)站的正常運(yùn)營(yíng)，最終會(huì)影響到您的網(wǎng)站在百度網(wǎng)頁(yè)搜索中的體現(xiàn)。網(wǎng)站漏洞問(wèn)題非常嚴(yán)重，網(wǎng)站安全為網(wǎng)站運(yùn)營(yíng)的重中之重，希望站長(zhǎng)們重視安全問(wèn)題，用好漏洞檢測(cè)工具，保證網(wǎng)站的安全運(yùn)轉(zhuǎn)及用戶體驗(yàn)。同時(shí)推薦使用百度安全聯(lián)盟合作伙伴：知道創(chuàng)宇旗下的安全工具Scanv及加速樂(lè)有效的保護(hù)您的網(wǎng)站不被黑客破壞。

如何使用漏洞檢測(cè)工具

第一步，注冊(cè)并登錄百度站長(zhǎng)平臺(tái).

第二步，提交網(wǎng)站并驗(yàn)證歸屬，具體驗(yàn)證網(wǎng)站歸屬方法可見(jiàn)幫助文檔

第三步，選擇左側(cè)“站點(diǎn)管理”

第四步，在已認(rèn)證歸屬的站點(diǎn)列表中選擇需要查詢的站點(diǎn)

第五步，選擇左側(cè)“漏洞檢測(cè)”

第六步，可檢測(cè)到網(wǎng)站是否存在漏洞問(wèn)題(主要展示形式如下圖)

漏洞類型說(shuō)明

1、高危漏洞

高危漏洞包括：SQL注入漏洞、XSS跨站腳本漏洞、頁(yè)面存在源代碼泄露、網(wǎng)站存在備份文件、網(wǎng)站存在包含SVN信息的文件、網(wǎng)站存在Resin任意文件讀取漏洞。

SQL注入漏洞：網(wǎng)站程序忽略了對(duì)輸入字符串中包含的SQL語(yǔ)句的檢查，使得包含的SQL語(yǔ)句被數(shù)據(jù)庫(kù)誤認(rèn)為是合法的SQL指令而運(yùn)行，導(dǎo)致數(shù)據(jù)庫(kù)中各種敏感數(shù)據(jù)被盜取、更改或刪除。

XSS跨站腳本漏洞：網(wǎng)站程序忽略了對(duì)輸入字符串中特殊字符與字符串的檢查，使得攻擊者可以欺騙用戶訪問(wèn)包含惡意JavaScript代碼的頁(yè)面，使得惡意代碼在用戶瀏覽器中執(zhí)行，從而導(dǎo)致目標(biāo)用戶權(quán)限被盜取或數(shù)據(jù)被篡改。

頁(yè)面存在源代碼泄露：頁(yè)面存在源代碼泄露,可能導(dǎo)致網(wǎng)站服務(wù)的關(guān)鍵邏輯、配置的賬號(hào)密碼泄露，攻擊者利用該信息可以更容易得到網(wǎng)站權(quán)限，導(dǎo)致網(wǎng)站被黑。

網(wǎng)站存在備份文件：網(wǎng)站存在備份文件，例如數(shù)據(jù)庫(kù)備份文件、網(wǎng)站源碼備份文件等，攻擊者利用該信息可以更容易得到網(wǎng)站權(quán)限，導(dǎo)致網(wǎng)站被黑。

網(wǎng)站存在包含SVN信息的文件：網(wǎng)站存在包含SVN信息的文件，這是網(wǎng)站源碼的版本控制器私有文件，里面包含SVN服務(wù)的地址、提交的私有文件名、SVN用戶名等信息，該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)，為攻擊者入侵網(wǎng)站提供幫助。

網(wǎng)站存在Resin任意文件讀取漏洞：安裝某些版本Resin服務(wù)器的網(wǎng)站存在可讀取任意文件的漏洞，攻擊者利用該漏洞可以讀取網(wǎng)站服務(wù)器的任意文件內(nèi)容，導(dǎo)致網(wǎng)站被黑。

2、中危漏洞

中危漏洞包括：網(wǎng)站存在目錄瀏覽漏洞、網(wǎng)站存在PHPINFO文件、網(wǎng)站存在服務(wù)器環(huán)境探針文件、網(wǎng)站存在日志信息文件、網(wǎng)站存在JSP示例文件。

網(wǎng)站存在目錄瀏覽漏洞：網(wǎng)站存在配置缺陷，存在目錄可瀏覽漏洞，這會(huì)導(dǎo)致網(wǎng)站很多隱私文件與目錄泄露，比如數(shù)據(jù)庫(kù)備份文件、配置文件等，攻擊者利用該信息可以更容易得到網(wǎng)站權(quán)限，導(dǎo)致網(wǎng)站被黑。

網(wǎng)站存在PHPINFO文件：網(wǎng)站存在PHPINFO文件，這個(gè)是PHP特有的信息文件，會(huì)導(dǎo)致網(wǎng)站的大量架構(gòu)信息泄露，該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)，為攻擊者入侵網(wǎng)站提供幫助。

網(wǎng)站存在服務(wù)器環(huán)境探針文件：網(wǎng)站存在服務(wù)器環(huán)境探針文件，該文件會(huì)導(dǎo)致網(wǎng)站的大量架構(gòu)信息泄露，該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)，為攻擊者入侵網(wǎng)站提供幫助。

網(wǎng)站存在日志信息文件：網(wǎng)站存在日志信息文件，該文件包含的錯(cuò)誤信息會(huì)導(dǎo)致網(wǎng)站的一些架構(gòu)信息泄露，該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)，為攻擊者入侵網(wǎng)站提供幫助。

網(wǎng)站存在JSP示例文件：網(wǎng)站存在JSP示例文件，該文件的弱口令會(huì)導(dǎo)致網(wǎng)站的大量架構(gòu)信息泄露，該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)，為攻擊者入侵網(wǎng)站提供幫助。

3、低危漏洞

低危漏洞包括：頁(yè)面上存在網(wǎng)站程序的調(diào)試信息、網(wǎng)站存在后臺(tái)登錄地址、網(wǎng)站存在服務(wù)端統(tǒng)計(jì)信息文件、網(wǎng)站存在敏感目錄。

頁(yè)面上存在網(wǎng)站程序的調(diào)試信息：頁(yè)面上存在數(shù)據(jù)庫(kù)信息，例如數(shù)據(jù)庫(kù)名、數(shù)據(jù)庫(kù)管理員名，該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)，為攻擊者入侵網(wǎng)站提供幫助。

網(wǎng)站存在后臺(tái)登錄地址：網(wǎng)站存在后臺(tái)登錄地址，攻擊者經(jīng)常使用這個(gè)地址進(jìn)行網(wǎng)站的后臺(tái)登陸，比如弱密碼、表單繞過(guò)、暴力破解等，從而得到網(wǎng)站的權(quán)限。

網(wǎng)站存在服務(wù)端統(tǒng)計(jì)信息文件：網(wǎng)站存在服務(wù)端統(tǒng)計(jì)信息文件，該文件會(huì)導(dǎo)致網(wǎng)站的一些架構(gòu)信息泄露，該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)，為攻擊者入侵網(wǎng)站提供幫助。

網(wǎng)站存在敏感目錄：網(wǎng)站存在敏感目錄，例如/upload/database /bak，該信息有助于攻擊者更全面了解網(wǎng)站的架構(gòu)，為攻擊者入侵網(wǎng)站提供幫助。

申請(qǐng)創(chuàng)業(yè)報(bào)道，分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處，共同探討創(chuàng)業(yè)新機(jī)遇！