药监局网络安全评估透测试报告v10.doc

《药监局网络安全评估透测试报告v10.doc》由会员分享，可在线阅读，更多相关《药监局网络安全评估透测试报告v10.doc（30页珍藏版）》请在三一文库上搜索。

1、北京商业银行网络安全实施计划文档编号：药监局网络安全评估&渗透测试报告【机密】北京启明星辰信息技术有限公司Beijing Venus Information Tech., Inc.2005年11月声明：本文档是启明星辰信息技术有限公司为药监局网络安全评估服务项目提交文档的一部分，文档的所有权归启明星辰公司所有，任何对本文档的修改、发布、传播等行为都需要获得启明星辰公司的授权，启明星辰公司保留对违反以上声明的组织或个人追究责任，直至诉诸法律的权力。2渗透测试报告 文档信息文档名称XX渗透测试报告保密级别机密文档版本编号V1.0制作人彭涛制作日期2005-11-17复审人黄玉金、廖飞明复审日期20

2、05-11-18适用范围本文档为启明星辰信息技术有限公司(以下简称启明星辰)为药监局提供的安全评估&渗透测试服务项目，供药监局用户参考。分发控制编号读者文档权限与文档的主要关系1启明星辰项目组读取项目组成员使用本规定2黄玉金、廖飞明批准项目的负责人，负责本文档的批准程序3药监局用户读取，建议项目的使用者，负责本文档的读取版本控制时间版本说明修改人2005-11-17V1.0文档初始化彭涛目录1背景41.1目标41.2范围41.2.1主机系统渗透测试51.2.2数据库据库系统渗透测试51.2.3应用系统渗透测试52渗透测试方法62.1渗透测试流程62.1.1渗透测试流程62.1.2本次渗透测试具

3、体实施流程72.2本次渗透测试采用的技术方法82.2.1网络拓扑分析82.2.2漏洞扫描92.2.3缓冲区溢出122.2.4口令猜测攻击132.2.5脚本测试143详细测试过程 渗透测试153.1.1攻击测试163.1.2渗透163.1.3测试成果183.2内网渗透测试193.2.1攻击测试193.2.2渗透203.2.3测试成果204安全扫描结果分析20一、任务信息20二、安全扫描结论21三、端口扫描信息21四、主机服务信息21五、安全漏洞修补建议265风险规避措施286测试环境描述296.1使用的软件296.1.1NESSUS（http:/www.nessus.org）296.1.2XSC

4、AN（http:/）296.1.3Rpcscan(http:/)296.1.4Retina(http:/)296.1.5天镜网络漏洞扫描系统（http:/）297附件291 背景1.1 目标为了充分了解药监局网络系统当前所面临的网络安全威胁状况，需要模拟黑客攻击实际的发生过程进行渗透测试，所以需要对药监局的信息系统进行抽样扫描，在获得安全扫描报告的基础上，在用户的许可和控制范围内，对某些信息系统进行重点的渗透测试。渗透测试的结果将和工具扫描的结果一起为下一步的综合风险评估提供重要数据。渗透测试将作为安全威胁评估的一个重要组成部分，并为测试目标系统和目标网络的安全状况提供最有力的证据。1.2 范

5、围渗透测试的范围限制于经过药监局以书面形式进行授权的主机、网络系统，使用的手段也经过药监局用户的书面同意。启明星辰公司承诺不会对授权范围之外的主机、网络系统进行测试、模拟攻击，并且不会使用未经药监局方许可的手段进行测试。具体的渗透测试范围如下：网站IP地址范围列表： 218.244.230.69其它应用的地址范围：218.244.230.66218.244.230.67218.244.230.68218.244.230.71-218.244.230.98本次渗透测试包括的工作范围如下：1.2.1 主机系统渗透测试对药监局方提供的渗透测试范围内主机系统，包括WINDOWS和LINUX等操作系统

6、本身进行渗透测试。1.2.2 数据库据库系统渗透测试对药监局方提供的渗透测试范围内的主机上所承载的SQLSERVER这一类数据库系统进行渗透测试。1.2.3 应用系统渗透测试 对药监局方提供的渗透测试范围内的主机上所承载的各种应用，如ASP、CGI、JSP、PHP等组成的WWW应用、FTP、NETBIOS、PCANYWHERE等服务进行渗透测试。2 渗透测试方法2.1 渗透测试流程2.1.1 渗透测试流程2.1.2 本次渗透测试具体实施流程2.2 本次渗透测试采用的技术方法2.2.1 网络拓扑分析2.2.1.1 使用手段Ping Sweep审计使用PingSweep对网络进行探查，即使用Pin

7、g的方式利用ICMP协议对网络进行检测，并同时对目标IP进行DNS的反向解析、取得目标的主机名。DNS区域传输审计利用DNS服务器区域传输（zone transfer）的特性，尝试导出DNS服务器域文件，得到其全部子域名与IP之间的对应关系。Tracert审计使用tracert方式对网络链路进行跟踪，确定与目标之间经过的路由和防火墙设备的通路。SNMP管理分析利用SNMP服务默认管理字符串public和private对远程目标主机进行简单网络协议管理，获取目标主机或设备的ARP信息，连接状态甚至是配置文件等敏感信息。2.2.1.2 结果分析Ping Sweep审计结果药监局网络通过防火墙设置禁

8、止了ICMP，所以无法对目标范围内的主机进行Ping Sweep审计。但穿越防火墙渗透入内网之后可对药监局内网进行ping sweep审计。Tracert审计药监局网络通过防火墙设置禁止了tracert，所以无法对目标范围内的主机进行tracert审计。但穿越防火墙渗透入内网之后可以通过tracert审计了解药监局内网的结构进行进一步的渗透。SNMP管理审计由于防火墙禁止了ICMP包，无法使用solarwind一类的图形SNMP服务管理软件对整个目标网络进行扫描，但渗透入内网之后可使用snmpget等命令行方式以MIBIIbrowser使用默认管理字符串对目标网络中的部分主机和设备进行管理。2

9、.2.2 漏洞扫描2.2.2.1 使用手段使用天镜网络漏洞扫描系统和NESSUS漏洞扫描软件（www.nessus.org）以及xscan、retina等free的扫描器对目标主机进行全面的安全扫描。使用FTP暴力破解软件对FTP主机进行了口令猜解。使用CGI漏洞扫描软件对目标开放WWW服务的主机进行CGI漏洞扫描。2.2.2.2 结果分析我们扫描了218.244.230.66-218.244.230.98网段，由于药监局应用了防火墙和入侵监测等安全设备，扫描速度比较慢，从扫描结果显示了一些可远程利用的漏洞，对重点需要渗透测试的WEB主机等待扫描等信息收集工作完成后实施渗透。使用211.167

10、.237网段对218.244.230.71-218.244.230.98网段扫描时得出以下端口服务信息：部分目标系统打开23端口，用telnet可以连接倒目标系统的23端口，发现为天融信防火墙或网络设备的远程管理服务端口，建议用户使用IP地址限制功能来进行远程管理。继续进行web扫描和CGI渗透测试，发现一些问题并做部分测试。重点对IP范围（218.244.230.66-70）进行扫描和CGI渗透测试，利用已获得的权限对内网进行渗透。进行web扫描和CGI渗透测试，我们发现http:/存在浏览WEB站点下任意目录的漏洞，我们只要知道目录名就能查看目录下的所有文件，如图：http:/ 缓冲区溢出

11、2.2.3.1 使用手段缓冲区溢出攻击分为本地溢出和远程溢出，这两种手段都是当前出现的频率最高、威胁最严重，同时又是最容易直接验证漏洞的威胁是否存在的一种渗透方法，本次渗透测试采用了大量的攻击程序对涉及的几种操作系统可能存在缓冲区溢出问题的服务进行了渗透攻击测试。2.2.3.2 结果分析药监局网络防火墙对远程缓冲区溢出做了严格的防范，从扫描报告分析，无直接可利用的远程缓冲区溢出漏洞。通过web服务进行的WEBDAV远程溢出也未获得成功，分析在防范直接溢出攻击方面做得比较好。2.2.4 口令猜测攻击2.2.4.1 使用手段口令猜测也是一种出现概率很高的风险，几乎不需要任何攻击工具，利用一个简单的

12、暴力攻击程序和一个比较完善的字典，就可以猜测口令。 对一个系统账号的猜测通常包括两个方面：首先是对用户名的猜测，其次是对密码的猜测。本次渗透测试的口令猜测攻击主要针对主机上应用的WEB登录服务界面。2.2.4.2 结果分析直接从外网进行FTP口令猜测攻击对Windows平台的主机进行了测试，由于防火墙对外关闭了21端口，所以渗透测试范围内的WINDOWS主机均主动拒绝远程FTP服务；另外由于防火墙屏蔽了135、139和445端口，所以对Windows平台的共享口令猜测也无法进行测试。WEB页面口令猜测测试，网站存在多个登录页面，经测试发现了基层用户名和密码为：100/111111，可直接通过w

13、eb登入服务器，能够获取一般用户的访问权限，https:/ 脚本测试2.2.5.1 使用手段由本次渗透测试负责实施的资深安全工程师根据前一部应用漏洞扫描的结果对目标网络内各主机和主机上承载的服务进行模拟攻击测试，包括以下内容：1， 对各WINDOWS操作系统提供的默认系列服务进行手工模拟攻击测试；2， 对开放的远程登录服务进行手工模拟攻击测试；3， 对提供SQLSERVER服务的服务器上的SQLSERVER进行手工的模拟攻击测试；4， 对有登录界面的应用进行密码猜测攻击和手工密码猜测攻击；5， 对部分提供WEB服务的主机上的WEB服务进行手工溢出攻击。2.2.5.2 结果分析根据手工检测后显示

14、，网站上的大量动态页面均存在SQL注入型漏洞，我们通过远程测试后发现网站和数据库分别位于两台服务器，测试结果为我们可以通过WEB服务器获得MSSQL数据库服务器（218.244.230.66）的管理员（administrators）权限，能够上传并执行任意程序，可以通过图形界面来远程管理主机，由于218.244.230.66 主机通过防火墙进行了访问控制，经过扫描后发现，主机对外仅开放了23和4949端口，用于天融信防火墙的远程管理，而由内向外的访问只做了部分限制，允许主机访问公网主机的21、80等端口，于是我们通过反弹连接的方法将这台主机映射到了公网，然后通过这台主机做为跳板，我们成功的进入

15、了用户的内网，为了减少对用户应用的影响，在获得了用户内网的网络拓扑结构后，我们停止了进一步的渗透测试行为。3 详细测试过程3.1 渗透测试通过手工检查，该网站上存在大量的动态JSP应用程序，这是Windows平台下的动态应用，通常情况下，JSP应用脚本同数据库（MSSQLSERVER或ORACLE等）联合使用，为用户提供动态内容。通常情况下这种应用中存在的最大安全漏洞就是SQL Injection（通常由于没有对用户提交内容进行限制性检查，对提交的SQL语句进行修改，可以造成原有执行语句的改变，从而执行其他语句）。在用户注册、登录和查询等内容中，测试是否存在SQL Injection安全漏洞

16、。经过测试，发现了大量的SQL Injection漏洞，主要问题为JSP脚本对WEB提交的参数没有进行过滤和检查。3.1.1 攻击测试通过端口扫描，我们发现该网站服务器受到防火墙了的严密保护，对外仅开了80、443端口。我们通过SQL注入漏洞，我们收集到MSSQL2000数据库的下面信息：VERSION:Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft CorporationEnterprise Edition on Windows NT

17、 5.0 (Build 2195: Service Pack 4)Database: koof上面的信息显示了数据库实例名，服务器名，版本（8.00.760）。从版本信息看，该数据库安装了补丁程序SP3以上版本。3.1.2 渗透现在，我们已经成功登录上了数据库系统。在一些重要数据表中，我们获得的账号有完全的系统控制权限，能够添加/删除/修改数据库记录和运行系统CMD命令。 koof数据库表名和记录信息： 我们上传的测试页面地址为：c:inetpubwwwroottest.asp ，网址为：http:/192.168.2.9/test.asp 本机的IP地址信息：（主机名：ml370g4 IP:

18、192.168.29）Windows 2000 IP ConfigurationHost Name . . . . . . . . . . . . : ml370g4Primary DNS Suffix . . . . . . . : Node Type . . . . . . . . . . . . : BroadcastIP Routing Enabled. . . . . . . . : NoWINS Proxy Enabled. . . . . . . . : NoEthernet adapter 本地连接:Connection-specific DNS Suffix . : Desc

19、ription . . . . . . . . . . . : HP NC7781 Gigabit Server AdapterPhysical Address. . . . . . . . . : 00-11-85-E7-28-82DHCP Enabled. . . . . . . . . . . : NoIP Address. . . . . . . . . . . . : 192.168.2.9Subnet Mask . . . . . . . . . . . : 255.255.255.0Default Gateway . . . . . . . . . : 192.168.2.254

20、DNS Servers . . . . . . . . . . . : 192.168.0.1 202.106.196.11 主机目录列表信息：c: 的目录2004-12-31 15:00 8,192 1.html2004-12-24 11:12 compaq2004-12-24 11:09 CPQSYSTEM2004-12-24 11:07 Documents and Settings2005-01-24 16:23 Downloads2005-11-09 16:57 721 firstsee.txt2004-12-24 10:45 Inetpub2005-06-24 11:39 Progr

21、am Files2004-12-24 11:14 214 setup.log2004-12-26 15:17 sql2ksp32005-11-09 17:33 255 test1.txt2005-06-24 20:00 WINNT 4 个文件 9,382 字节 8 个目录 7,076,585,472 可用字节d: 的目录2004-12-26 16:12 docstorage2004-12-26 15:55 jdk2005-06-22 16:00 lenovo2004-12-24 16:38 Microsoft SQL Server2005-05-31 12:38 msserver2004-12

22、-26 14:25 WUTemp 0 个文件 0 字节 6 个目录 81,842,946,048 可用字节e: 的目录2005-07-08 12:32 26,378 baoxian.jpg2005-05-20 14:31 9,240,576 koof_Data.MDF (数据库备份)2005-05-20 14:31 16,973,824 koof_Log.LDF2005-07-18 12:12 party2005-06-24 15:38 tmp2005-07-22 11:21 4,584 新建 文本文档.txt2005-08-24 12:37 网站备份2005-07-04 13:47 网站更改

23、纪录 4 个文件 26,245,362 字节 4 个目录 60,745,371,648 可用字节 本机运行的管理员组用户列表： 的用户帐户-Administrator Guest IUSR_ML370G4 IWAM_ML370G4 SQLDebugger TsInternetUser 命令运行完毕，但发生一个或多个错误。综上所述，我们已经完全控制这台数据库服务器，可以上传某些恶意的后门程序，或者恶意的代码，或者通过修改数据库中的数据记来达到恶意修改网站页面的目的。3.1.3 测试成果通过简单测试，我们获得下面的成果：l 获得数据库访问账号，可以对数据库进行修改；l 能够间接修改网站内容；l 能

24、够下载整个数据库；l 已经完全控制该服务器，然后利用该服务器做为跳板来攻击内网中的其它主机。3.2 内网渗透测试3.2.1 攻击测试利用上传的一个后门程序对药监局的内网进行了扫描测试，内网的网上邻居信息如下： 查看计算机域：net view /domainDomain-ADRSERVERS CDR WORKGROUP 命令成功完成。 查看cdr域中的计算机列表：net view /domain:cdr服务器名称 注释-ADR_W CDR_ADRWEB PASS 查看ADRSERVERS域中的计算机列表：Net view /domain: ADRSERVERS服务器名称 注释-ADRWEB DB

25、 3.2.2 渗透为了不影响药监局内网的正常业务应用，我们在获得了内网各服务器信息后停止了进一步的渗透测试。至此，本次渗透测试已获取药监局内网一台数据库服务器的完全控制权限，可利用后门程序上传或者删除任意文件，更改网站页面文件。药监局网络对DMZ区的主机防范措施较为严格，其服务器群均受到防火墙的保护，而且安全防护措施做得比较好，能防范大部分方式的溢出攻击。但药监局的内网主机之间没有采用任何防范措施，可以通过反弹方法绕过防火墙，在内网进行扫描和监听能够发现很多安全隐患，比如开放了默认文件共享，允许进行网络监听和无法防范ARP欺骗等等。3.2.3 测试成果通过进入内网的进一步渗透测试，我们获得下面

26、的成果：l 可以通过监听获得药监局内网的大量用户名密码l 能够修改数据库的记录来达到删改网页的目的l 能够下载整个数据库l 能够通过探测出的用户名和口令，进一步控制内网其他服务器4 安全扫描结果分析一、 任务信息任务名称国家药品评价中心安全扫描执行时间2005-11-15 10:02:32 19:17:08 经历9小时14分扫描范围218.244.230.66 - 218.244.230.98扫描人员黄玉金、张磊、彭涛扫描所用地址211.167.237.240二、 安全扫描结论药品评价中心服务器IP地址：218.244.230.69/ 218.244.230.70已证实存在SQL注入漏洞和跨站

27、脚本攻击漏洞，并且有部分.jsp文件源代码的备份文件可以被下载，整体安全状况建议用户重点关注。三、 端口扫描信息由于药品评价中心所属IP地址段：218.244.230.6698 处于防火墙（218.244.230.66）的内部，所以端口扫描得不到该地址段主机的端口信息。四、 主机服务信息218.244.230.66 （TOPSEC NetGuard Firewall 4000-E管理主机，已获得完全控制权限）服务协议/端口等级说明TelnetTCP/23中使用telnet方式登陆，用户名、密码和使用的命令采用明文传输，攻击者可以容易获得客户的敏感信息。FTPTcp/21低端口开放Afs3-ca

28、llbackTcp/7001低端口开放（用于给缓存管理器回电的 AFS 端口）218.244.230.68 （Microsoft-IIS/5.0）服务协议/端口等级说明HttpTcp/80中远程服务器当前运行WebDAV服务，WebDAV 服务是HTTP规范的一个扩展的标准。它让远程用户对服务器添加授权的用户和管理添加服务器的内容。如果你不使用这个功能，请禁用它。HttpsTcp/443低端口开放PcAnywhereTcp/5623低端口开放，如果不使用该服务，建议关闭该端口HttpTcp/80低端口开放HttpTcp/80低通过Http头信息，暴露了内部的IP地址：192.168.2.321

29、8.244.230.69 （, Microsoft-IIS/5.0）服务协议/端口等级说明HttpTcp/80高由于程序对用户输入的url没有进行正确的过滤，以下页面存在登录页面验证被绕过的可能：/base/login.asp/area/login.aspHttpTcp/80中远程服务器当前运行WebDAV服务，WebDAV 服务是HTTP规范的一个扩展的标准。它让远程用户对服务器添加授权的用户和管理添加服务器的内容。如果你不使用这个功能，请禁用它。HttpsTcp/443中远程服务器当前运行WebDAV服务，WebDAV 服务是HTTP规范的一个扩展的标准。它让远程用户对服务器添加授权的用户

30、和管理添加服务器的内容。如果你不使用这个功能，请禁用它。HttpsTcp/443低端口开放HttpTcp/80低端口开放HttpTcp/80低存在一些“僵尸”链接，即存在但不能被访问的无效连接：/area/*.html/summit/*.html/base/*.html/base/index.files/filelist.xml/base/index.files/editdata.mso建议删除这些链接，或者使他们可以被访问。HttpsTcp/443低“http TRACE/TRACK 跨站攻击”，支持该方式的服务器可能存在跨站脚本漏洞，攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息，建

31、议禁用这些方式。处理方法见“第五部分”218.244.230.70 ( Apache Coyote/1.0 + Tomcat)服务协议/端口等级说明HttpTcp/80高通过对每个后缀为.bak, 或 .old CGI备份文件的GET请求，在浏览器的地址栏，可以下载相应源代码，这些文件包括：/doc/bjbattachlist2.jsp.bak/doc/bjbattachlist.jsp.bak/doc/bjblist.jsp.bak/index.jsp.bak/party/workmore.jsp.bakHttpTcp/80高由于程序对用户输入的url没有进行正确的过滤，以下页面存在被SQL

32、注入的可能：/menu.jsp/doc/bjblist.jsp建议程序对用户的输入做严格的过滤。HttpTcp/80中以下页面可能存在跨站脚本漏洞：/adrreport/adr.jsp/workinfo/work.jsp/xgzl/list.jsp/doc/adrlist.jsp/doc/list.jsp/doc/adrattachmentlist.jsp/party/work.jsp恶意的攻击者可能在这些页面中注入一些JavaScript,VBScript,ActiveX,等脚本来收集用户的敏感信息，建议程序对用户的输入做严格的过滤。HttpTcp/80中该Apache Tomcat ser

33、vlet/JSP贮存器安装了默认文件。这些文件有助于攻击者猜测主机上运行的Apache Tomcat的真实版本并提供其他的有用信息，应予以删除。/examples/servlets/index.html/examples/jsp/snp/snoop.jsp/examples/jsp/index.htmlHttpTcp/80低该站点中的一些文件可以被下载，请确认这些文件是否允许被下载或者包含敏感信息：/docbase/infodata/2005-05-19/11048/Vmmq43fj76QdxxTt.xls/bbxz/050307file2.xls/docbase/infodata/2005-

34、05-19/11037/6oEfhPB6QFG7pU8f.doc/docbase/infodata/2005-05-19/11039/C1dS5G42T83ExqDo.doc/docbase/infodata/2005-05-19/11040/HxHa100MAVh0ovg0.doc/docbase/infodata/2005-05-19/11041/HzgQ9TgqxBbd2A2C.doc/docbase/infodata/2005-05-19/11042/fNRu3D7Q6kR52wEV.doc/docbase/infodata/2005-05-19/11044/1qyaVBUnqmEXB

35、OVM.doc/docbase/infodata/2005-05-19/11045/QSo9Mi56oD0H9uSi.doc/docbase/infodata/2005-05-19/11046/S4K555CUaTHSEdRr.doc/docbase/infodata/2005-05-19/11047/uG1wbe1W47ab59S2.doc/docbase/infodata/2005-11-08/11635/HbxaztRCbq1zgDj4.doc/bbxz/ypzpj_old.doc/bbxz/20040315-ADR3.doc/bbxz/20040315-ADR2.doc/bbxz/20

36、040315-ADR1.doc/bbxz/050307file1.doc/bbxz/030404-form.doc/bbxz/guide.doc/bbxz/030326-MDR-hzb.doc/bbxz/030326-MDR.doc/bbxz/ypzpj.doc/bbxz/projectapp.doc/bbxz/lcsy.doc/div/jbyw/050405_02.doc/div/jbyw/050405_01.doc/div/bjb/%E5%9C%B0%E5%9B%BE.doc/div/bjb/050408_01.doc/div/bjb/040921-ywjj-zhdd.doc/div/bj

37、b/050201.pdfHttpsTcp/443低“HTTP TRACE/TRACK 跨站攻击”，支持该方式的服务器可能存在跨站脚本漏洞，攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息，建议禁用这些方式。处理方法见“第五部分”HttpTcp/80低存在一些“僵尸”链接，即存在但不能被访问的无效连接：/docbase/infodata/2005-05-24/menu.jsp/docbase/infodata/2005-05-24/index.jsp/docbase/infodata/2005-05-24/a.css建议删除这些链接，或者使他们可以被访问。HttpTcp/80低端口开放218

38、.244.230.95服务协议/端口等级说明TelnetTCP/23中使用telnet方式登陆，用户名、密码和使用的命令采用明文传输，攻击者可以容易获得客户的敏感信息。五、 安全漏洞修补建议1 SQL注入漏洞没有被授权的恶意攻击者可以在有该漏洞的系统上任意执行SQL命令，这将威胁到数据库的安全，并且会泄漏敏感信息。建议用户对在URL中提交的参数进行严格的过滤，去除一些比如单引号，SQL关键字等不应该出现的字符，具体的做法是在检查提交的URL中？号后面的字符串，发现有单引号，分号，SQL关键字等不该出现的特殊字符时，马上就跳转到一个自定义的ERROR错误页面。在所有的JSP程序中请使用过滤函数对

39、特殊字符进行过滤，比如：对于数字型变量，传入的参数都会直接附加到SQL语句上执行，可以用isNumeric函数判断提交的数据是否为数字型，对于字符型变量，传入的参数都是做为常量，所以只要过滤了单引号就完全安全了，至于如何过滤，最好是把一个单引号替换成两个单引号。2 多个备份文件可以被下载药品评价中心web服务器中的一些.bak备份文件可以被下载，这将暴露jsp的源代码的内容，导致泄漏程序的一些敏感信息，有可能被攻击者利用来进行攻击。建议移走这些泄漏的.bak文件至不能被下载的目录。3 跨站脚本漏洞恶意的攻击者可能在这些页面中注入一些JavaScript,VBScript,ActiveX,等脚本来收集用户的敏感信息。跨站脚本攻击虽然很少会对服务器本身造成一些比较大的影响,但对浏览着确是有很大的威胁，比如：,弹出一些对话框，修改主页信息，窃取用户的COOKIES资料，甚至格掉浏览者的硬盘。这样该站点将被变成一个恶意网站。建议对存在该漏洞的页面进行严格的过滤。(全部字符将写在中)如: | . | ; | : | | / | & | $ | # | | ) | , | | | - | | | ( | | 注