XX项目---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---目录1系统背景............................................................................................32.1系统的逻辑架构.................................................................................................33渗透准备............................................................................................54渗透结论............................................................................................55安全建议............................................................................................XX渗透测试方法.....................................................................................Xx.1目标.................................................................................................................xX.2范围.................................................................................................................XX.3使用工具..........................................................................................................X7测试过程............................................................................................X8总结.................................................................................................228.1存在隐患.........................................................................................................228.2安全建议.........................................................................................................22---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---首页-Firefox-火鼻中国版文件®病(§)查看U历史⑶书签迥TM©帮助但)?)首页-Firefox-火鼻中国版文件®病(§)查看U历史⑶书签迥TM©帮助但)|▼GX命¥旳|门|0http://61.132.132.71/Tovvn/Index.aspxuo|[5百页礎让Rrefox记住“34072006”在http://61.132.132.71的密码吗？---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---I[SomLee]•61.132.132.211---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---农村计划生育家庭奖励扶助目标人群信息管理系统---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---欢迎使用本乘统!t*数摇查询0则导出►毛r>陆2安全建议1.加强同一网段的主机的安全，禁止不必要的端口访问;2.及时更新系统及相关软件补丁；3.针对WEB过滤用户提交内容中包含的特殊字符；4.将登陆密码设置强度增大5.对WEB所有提交类型进行过滤6.将敏感目录的名称修改3渗透测试方法3.1目标XXOA3.2范围x1.xx.xx.211x1.xx.xx.131x1.xx.xx.1x9x1.xx.xx.71---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---3.3使用工具手工4测试过程x1.1x.xx.71开放端口如下：PORTSTATESERVICE80/tcpopen开放端口如下：80/tcpopen此漏洞属于应用程序级别测试，可能会窃取诸如用户名和密码等未经加密即发送了的用户登录信息。问题描述远程终端未对连接次数与连接地址进行限制风险描述当有恶意用户可以通过软件进行暴力破解从而得到服务器的控制权限建议解决使用IPS对登陆IP进行限制若有特殊需要可对每个IP的登陆次数进行限制---本文来源于网络，仅供参考，勿照抄，如有侵权请联系删除---WEBInjectionx1.xx.xx.211为一台WEB服务器，初步检测发现存在SQL注入漏洞，为MSSQL的数据库，数据库连接的用户为dbo权限，获取了管理的登陆账号并且成功获取webshell举例账号：adminjck2801340bengbubbwj2089009czwj2818050后台泄露了网站的物理路径，通过mssqllog备份成功获取webshell以下为通过MSSQL注入猜解数据库的截图:OPen-testtoolT配量<5?羞采⑧信息必安取数唸囚金令二塔文件岁注册袈1*作』文件営理■下...