Web 应用程序报告 - welchmat.com · SRI (Subresource Integrity) 的检查 61 TYPO3 Cumulus Tagcloud 扩展路径泄露 1 不安全的第三方链接 (target="_blank") 61 启用了

Web 应用程序报告

该报告包含有关 web 应用程序的重要安全信息。

安全报告安全报告

该报告由 IBM Security AppScan Standard 创建 9.0.3.6, 规则： 10344扫描开始时间： 2018/3/30 9:48:48

目录

介绍介绍

常规信息登陆设置

摘要摘要

问题类型有漏洞的 URL修订建议安全风险原因WASC 威胁分类

按问题类型分类的问题按问题类型分类的问题

跨站点脚本编制 24

Apache Tomcat 示例 Servlet 路径泄露 19SRI (Subresource Integrity) 的检查 61TYPO3 Cumulus Tagcloud 扩展路径泄露 1不安全的第三方链接 (target="_blank") 61启用了 Microsoft ASP.NET 调试 7在未加密连接中发现信用卡号模式 (MasterCard) 1检测到隐藏目录 5

缺少“Content-Security-Policy”头 5缺少“X-Content-Type-Options”头 5缺少“X-XSS-Protection”头 5错误页面路径泄露 15

HTML 注释敏感信息泄露 1发现电子邮件地址模式 62

未分类站点的链接 29

3/30/2018 1

修订建议修订建议

查看危险字符注入的可能解决方案取消调试错误消息和异常的输出并联系供应商以获取安全补丁。对禁止的资源发布“404 - Not Found”响应状态代码，或者将其完全除去将属性 rel = "noopener noreferrer" 添加到带有 target="_blank" 的每个元素将您的服务器配置为使用“Content-Security-Policy”头将您的服务器配置为使用“X-Content-Type-Options”头将您的服务器配置为使用“X-XSS-Protection”头将每个第三方脚本/链接元素支持添加到 SRI(Subresource Integrity)。检查链接，确定它是否确实本应包含在 Web 应用程序中禁用对 Microsoft ASP.NET 的调试请联系您的产品供应商，以了解最近是否推出了补丁或修订程序除去 HTML 注释中的敏感信息除去 Web 站点中的信用卡号除去 Web 站点中的电子邮件地址除去站点中的所有样本目录

咨询咨询

跨站点脚本编制Apache Tomcat 示例 Servlet 路径泄露SRI 支持TYPO3 Cumulus Tagcloud 扩展路径泄露TargetBlankLink启用了 Microsoft ASP.NET 调试在未加密连接中发现信用卡号模式 (MasterCard)检测到隐藏目录缺少“Content-Security-Policy”头缺少“X-Content-Type-Options”头缺少“X-XSS-Protection”头错误页面路径泄露HTML 注释敏感信息泄露发现电子邮件地址模式未分类站点的链接

应用程序数据应用程序数据

cookieJavaScript参数注释已访问的 URL失败的请求已过滤的 URL

3/30/2018 2

介绍该报告包含由 IBM Security AppScan Standard 执行的 Web 应用程序安全性扫描的结果。

高严重性问题： 24低严重性问题： 185参考严重性问题： 92报告中包含的严重性问题总数： 301扫描中发现的严重性问题总数： 301

常规信息常规信息

扫描文件名称：扫描文件名称： rn

扫描开始时间：扫描开始时间： 2018/3/30 9:48:48

测试策略：测试策略： Default

主机主机 localhost

端口端口 0

操作系统：操作系统： Win32

Web 服务器：服务器： IIS

应用程序服务器：应用程序服务器：任何

登陆设置登陆设置

登陆方法：登陆方法：记录的登录

并发登陆：并发登陆：已启用

JavaScript 执行文件：执行文件：已禁用

会话中检测：会话中检测：已启用

会话中模式：会话中模式：

跟踪或会话标识跟踪或会话标识 cookie：：

跟踪或会话标识参数：跟踪或会话标识参数：

登陆序列：登陆序列：

3/30/2018 3

TOC

TOC

摘要

问题类型问题类型 15

问题类型问题类型问题的数量问题的数量

高跨站点脚本编制 24

低 Apache Tomcat 示例 Servlet 路径泄露 19

低 SRI (Subresource Integrity) 的检查 61

低 TYPO3 Cumulus Tagcloud 扩展路径泄露 1

低不安全的第三方链接 (target="_blank") 61

低启用了 Microsoft ASP.NET 调试 7

低在未加密连接中发现信用卡号模式 (MasterCard) 1

低检测到隐藏目录 5

低缺少“Content-Security-Policy”头 5

低缺少“X-Content-Type-Options”头 5

低缺少“X-XSS-Protection”头 5

低错误页面路径泄露 15

参 HTML 注释敏感信息泄露 1

参发现电子邮件地址模式 62

参未分类站点的链接 29

有漏洞的有漏洞的 URL 76

URL 问题的数量问题的数量

高 http://localhost/club 1

高 http://localhost/jcjjgd/info_39.aspx 5

高 http://localhost/jckhpj/info_37.aspx 5

高 http://localhost/jcxwzx/info_40.aspx 5

高 http://localhost/jcxwzx/list_40.aspx 5

高 http://localhost/rnjjkh/info_36.aspx 5

高 http://localhost/rnjjkh/list_36.html 5

3/30/2018 4

高 http://localhost/rnlxzj/info_42.aspx 5

高 http://localhost/rnlxzj/list_42.aspx 5

高 http://localhost/search/search.aspx 5

高 http://localhost/view 4

高 http://localhost/zyzz/info_47.aspx 5

高 http://localhost/zyzz/list_47.aspx 5

低 http://localhost/ 39

低 http://localhost/contact 4

低 http://localhost/ddyynlts/index_28.html 3

低 http://localhost/dls60kyxt/index_33.html 3

低 http://localhost/dlsgshyy/index_27.html 3

低 http://localhost/dyysnlts/index_29.html 5

低 http://localhost/flsm/index_52.html 4

低 http://localhost/jcjjgd/info_39_itemid_613.html 3



低 http://localhost/jckhpj/info_37_itemid_147.html 3



低 http://localhost/jcppcj/index_24.html 3

低 http://localhost/jcxwzx/info_40_itemid_605.html 3



低 http://localhost/jcxwzx/list_40.html 5

低 http://localhost/mcqtlyx/index_34.html 4

低 http://localhost/qyzlgh/index_14.html 3

低 http://localhost/rnjjkh/index_36.html 4

低 http://localhost/rnjjkh/info_36_itemid_166.html 3













3/30/2018 5

TOC





低 http://localhost/rnlxzj/info_42_itemid_18.html 4

低 http://localhost/rnlxzj/list_42.html 10

低 http://localhost/search/search.html 3

低 http://localhost/service 3

低 http://localhost/wzdt/index_51.html 14

低 http://localhost/ypcyfadz/index_83.html 3

低 http://localhost/zxzxjj/index_45.html 3

低 http://localhost/zyzz/info_47_itemid_10.html 3



低 http://localhost/zyzz/list_47.html 6

低 http://localhost/jcjjgd/ 1

低 http://localhost/jckhpj/ 1

低 http://localhost/jcxwzx/ 1

低 http://localhost/rnjjkh/ 1

低 http://localhost/rnlxzj/ 1

低 http://localhost/search/ 2

低 http://localhost/zyzz/ 1

低 http://localhost/aspnet_client/ 1

低 http://localhost/backup/ 1

低 http://localhost/config/ 1

低 http://localhost/member/ 1

低 http://localhost/cn/scripts/jquery-1.7.2.min.js 2

低 http://localhost/cn/scripts/jquery.featurecarousel.js 4

低 http://localhost/cn/scripts/jquery.superslide.js 3

修订建议修订建议 15

修复任务修复任务问题的数量问题的数量

高查看危险字符注入的可能解决方案 24

低取消调试错误消息和异常的输出并联系供应商以获取安全补丁。 15

低对禁止的资源发布“404 - Not Found”响应状态代码，或者将其完全除去 5

低将属性 rel = "noopener noreferrer" 添加到带有 target="_blank" 的每个元素

61

3/30/2018 6

TOC

TOC

低将您的服务器配置为使用“Content-Security-Policy”头 5

低将您的服务器配置为使用“X-Content-Type-Options”头 5

低将您的服务器配置为使用“X-XSS-Protection”头 5

低将每个第三方脚本/链接元素支持添加到 SRI(Subresource Integrity)。 61

低检查链接，确定它是否确实本应包含在 Web 应用程序中 29

低禁用对 Microsoft ASP.NET 的调试 7

低请联系您的产品供应商，以了解最近是否推出了补丁或修订程序 1

低除去 HTML 注释中的敏感信息 1

低除去 Web 站点中的信用卡号 1

低除去 Web 站点中的电子邮件地址 62

低除去站点中的所有样本目录 19

安全风险安全风险 7

风险风险问题的数量问题的数量

高可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务

24

低可能会检索 Web 服务器安装的绝对路径，这可能会帮助攻击者开展进一步攻击和获取有关 Web 应用程序文件系统结构的信息

35

低在第三方服务器被破坏的情况下，站点的内容/行为将更改。 61

低可能会劝说初级用户提供诸如用户名、密码、信用卡号、社会保险号等敏感信息

76

低可能会收集有关 Web 应用程序的敏感信息，如用户名、密码、机器名和/或敏感文件位置

86

低可能会检索有关站点文件系统结构的信息，这可能会帮助攻击者映射此Web 站点

5

参不适用 29

原因原因 10

原因原因问题的数量问题的数量

高未对用户输入正确执行危险字符清理 24

低在 Web 站点上安装了缺省样本脚本或目录 19

低不支持子资源完整性。 61

低 Web 站点上安装了没有已知补丁且易受攻击的第三方软件 1

低链接元素中的 rel 属性未设置为“noopener noreferrer”。 61

低 Web 应用程序编程或配置不安全 85

低 Web 服务器或应用程序服务器是以不安全的方式配置的 20

3/30/2018 7

TOC

低未安装第三方产品的最新补丁或最新修订程序 15

参程序员在 Web 页面上留下调试信息 1

参不适用 29

WASC 威胁分类威胁分类

威胁威胁问题的数量问题的数量

信息泄露 126

功能滥用 61

恶意内容测试 29

跨站点脚本编制 24

远程文件包含 61

3/30/2018 8

http://projects.webappsec.org/Information-Leakagehttp://projects.webappsec.org/Abuse-of-FunctionalityN/Ahttp://projects.webappsec.org/Cross-Site Scriptinghttp://projects.webappsec.org/Remote-File-Inclusion

TOC

按问题类型分类的问题

高跨站点脚本编制 24 TOC

问题 1 / 24

跨站点脚本编制跨站点脚本编制

严重性：严重性：高高

CVSS 分数：分数： 7.5

URL：： http://localhost/jcxwzx/list_40.aspx

实体：实体： list_40.aspx (Page)

风险：风险：可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务

原因：原因：未对用户输入正确执行危险字符清理

固定值：固定值：查看危险字符注入的可能解决方案

差异：差异：路径路径从以下位置进行控制： /jcxwzx/list_40.aspx 至： /jcxwzx/list_40.aspx/查询查询从以下位置进行控制： ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==&page=1

至： >'">alert(1255)?ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==&page=1

推理：推理：测试结果似乎指示存在脆弱性，因为 Appscan 在响应中成功嵌入了脚本，在用户浏览器中装入页面时将执行该脚本。

测试请求和响应：测试请求和响应：

GET /jcxwzx/list_40.aspx/?%3E'%22%3E%3Cscript%3Ealert(1255)%3C/script%3E?ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==&page=1 HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/jcxwzx/list_40.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OK

3/30/2018 9

http://localhost/jcxwzx/list_40.aspx

x-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 26730X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=eri4fhulm3vhu4bjh0uccacb; path=/; HttpOnlyDate: Fri, 30 Mar 2018 02:55:20 GMTContent-Type: text/html; charset=utf-8

中国建材家居行业营销咨询领导者—容纳建材家居营销咨询中心|建材营销咨询|建材品牌战略规划|建材招商策划咨询

uaredirect("http://siteapp.baidu.com/site/www.rona01.com","http://www.rona01.com");

var navID = '5'; var menuID = '40';

容纳集团官网| 容纳品牌咨询中心| 中略商学院| 容纳网络咨询中心| $(".Topnav").find("em:last").remove(); 官方微博

3/30/2018 10

TOC

官方微信

Referer: http://localhost/rnjjkh/index_36.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 32738X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=rsjvxuecllzbrqjrjjgmyt1u; path=/; HttpOnlyDate: Fri, 30 Mar 2018 02:54:47 GMTContent-Type: text/html; charset=utf-8




容纳集团官网| 容纳品牌咨询中心| 中略商学院| 容纳网络咨询中心| $(".Topnav").find("em:last").remove();

3/30/2018 12

TOC

官方微博

官方微信快来扫描我吧! ◆ ◆

首页建材咨询服务




URL：： http://localhost/zyzz/list_47.aspx

实体：实体： list_47.aspx (Page)




差异：差异：路径路径从以下位置进行控制： /zyzz/list_47.aspx 至： /zyzz/list_47.aspx/查询查询从以下位置进行控制： ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==&page=1




GET /zyzz/list_47.aspx/?%3E'%22%3E%3Cscript%3Ealert(1427)%3C/script%3E?ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==&page=1 HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/zyzz/list_47.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 21778X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=asvdq5e5ggj4sd4qb51mkn5i; path=/; HttpOnlyDate: Fri, 30 Mar 2018 02:55:33 GMTContent-Type: text/html; charset=utf-8


3/30/2018 14

http://localhost/zyzz/list_47.aspx






.........

目前在第1页,

TOC

class='p_count'>共有1页, 共有6条记录第一页上一页 alert(2083)?page=2



GET /view/?%3E'%22%3E%3Cscript%3Ealert(2083)%3C/script%3E?page=2 HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/viewCookie: Hm_lpvt_2ecf97fd15edf1f5cd52e6d019b38dd6=1522374918; __tins__16771237=%7B%22sid%22%3A%201522374718016%2C%20%22vd%22%3A%2012%2C%20%22expires%22%3A%201522376718206%7D; __51cke__=; __51laig__=12; Hm_lpvt_98311858f0862341bf7172cad627ce06=1522374918; Hm_lvt_98311858f0862341bf7172cad627ce06=1522374718; Hm_lvt_2ecf97fd15edf1f5cd52e6d019b38dd6=1522374718; ASP.NET_SessionId=bk0mplqfllr51qvmqxlbqlxoHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 26093X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETDate: Fri, 30 Mar 2018 02:59:11 GMTContent-Type: text/html; charset=utf-8

3/30/2018 16

http://localhost/view





官方微信快来扫描我吧! ◆ ...

3/30/2018 17

TOC

...

...

目前在第1页, 共有46页, 共有273条记录第一页上一页 alert(2083)?page=2&page=2' class='a_num' id='pageNum2'>2alert(2083)?page=2&page=4' class='a_num' id='pageNum4'>4alert(2083)?page=2&page=2' class='a_next'>下一页 alert(1713)?ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==&page=1



GET /rnlxzj/list_42.aspx/?%3E'%22%3E%3Cscript%3Ealert(1713)%3C/script%3E?ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==&page=1 HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/rnlxzj/list_42.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

3/30/2018 18

http://localhost/rnlxzj/list_42.aspx

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 23631X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=anoqy1lnrh32owntnoxhqkqa; path=/; HttpOnlyDate: Fri, 30 Mar 2018 02:56:11 GMTContent-Type: text/html; charset=utf-8




容纳集团官网| 容纳品牌咨询中心| 中略商学院| 容纳网络咨询中心| $(".Topnav").find("em:last").remove();

3/30/2018 19

TOC

官方微博



...

...

...

目前在第1页, 共有1页, 共有6条记录第一页上一页

差异：差异：路径路径从以下位置进行控制： /Club 至： /Club/查询查询从以下位置进行控制： page=1 至： >'">alert(2153)?page=1



GET /Club/?%3E'%22%3E%3Cscript%3Ealert(2153)%3C/script%3E?page=1 HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/ClubCookie: Hm_lpvt_2ecf97fd15edf1f5cd52e6d019b38dd6=1522374958; __51cke__=; __tins__16771237=%7B%22sid%22%3A%201522374718016%2C%20%22vd%22%3A%2018%2C%20%22expires%22%3A%201522376758122%7D; __51laig__=18; Hm_lpvt_98311858f0862341bf7172cad627ce06=1522374958; Hm_lvt_98311858f0862341bf7172cad627ce06=1522374718; Hm_lvt_2ecf97fd15edf1f5cd52e6d019b38dd6=1522374718; ASP.NET_SessionId=bk0mplqfllr51qvmqxlbqlxoConnection: keep-aliveHost: localhostUpgrade-Insecure-Requests: 1Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: en-US,en;q=0.8





3/30/2018 21

TOC






URL：： http://localhost/search/search.aspx

实体：实体： search.aspx (Page)




差异：差异：路径路径从以下位置进行控制： /search/search.aspx 至： /search/search.aspx/查询查询从以下位置进行控制： ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==&page=1




GET /search/search.aspx/?%3E'%22%3E%3Cscript%3Ealert(1733)%3C/script%3E?ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==&page=1 HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/search/search.html?key=%u5EFA%u6750%u8425%u9500Host: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 26334X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=bgwhlm2leytcizkipwijtumi; path=/; HttpOnlyDate: Fri, 30 Mar 2018 02:56:12 GMTContent-Type: text/html; charset=utf-8


3/30/2018 23

http://localhost/search/search.aspx





...

...

...

目前在第1页, 共有3页, 共有66条记录第一页上一页 alert(1733)?ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==&page=2' class='a_num' id='pageNum2'>2






3/30/2018 26

建材经典案例建材家居观点建材新闻中心容纳汇关于容纳咨询

联系容纳

//导航选中 $("#nav" + navID).addClass("onnav"); //微信 $(".weiboBox .weixin").hover(function(){ $(this).find(".WeixinBox").stop(); $(this).find(".WeixinBox").slideDown(300); },function(){ $(this).find(".WeixinBox").hide(); });

TOC问题 9 / 24




URL：： http://localhost/jcxwzx/info_40.aspx

实体：实体： ezeip (Parameter)




差异：差异：参数参数从以下位置进行控制： 0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka==

至： 0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka=="onmouseover="alert(297)"



GET /jcxwzx/info_40.aspx?itemid=619&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka=="onmouseover="alert(297)" HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/jcxwzx/info_40_itemid_615.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 25632X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=b0v3safvytl2etik2jucsgf4; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:05:03 GMTContent-Type: text/html; charset=utf-8

2016年伊始，容纳竞略连续与3家建材企业签订合作协议

某一新型大理石石砖材料品牌等3家新客户签订了合作协议。" />






TOC

--> 建材经典案例建材家居观点建材新闻中心




URL：： http://localhost/jcxwzx/list_40.aspx





差异：差异：参数参数从以下位置进行控制： 0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==

至： 0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==%27onmouseover%3D%22alert%28300%29%22



GET /jcxwzx/list_40.aspx?ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==%27onmouseover%3D%22alert%28300%29%22&page=1 HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/jcxwzx/list_40.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 26658X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=ilw5lzbc3yy0xwxs4yngr1nw; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:05:14 GMTContent-Type: text/html; charset=utf-8



3/30/2018 31

http://localhost/jcxwzx/list_40.aspx



官方微信快来扫描我吧! ◆ ◆ .........

目前在第1页, 共有24页, 共有142条记录第一页上一页 24

TOC

ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF snSUvjaMgs/LgMKdu2ir10teCfp86L/KA=='onmouseover="alert(300)"&page=5' class='a_num' id='pageNum5'>5.........

问题 11 / 24

测试响应测试响应

模拟当在浏览器中打开该页面时会出现的弹出窗口

300

3/30/2018 33




URL：： http://localhost/zyzz/info_47.aspx









GET /zyzz/info_47.aspx?itemid=9&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka=="onmouseover="alert(367)" HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/zyzz/info_47_itemid_10.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 25507X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=kmym1alo03z0qvgxt23loe0a; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:09:31 GMTContent-Type: text/html; charset=utf-8



3/30/2018 34

http://localhost/zyzz/info_47.aspx





建材经典案例建材家居观点 <.........

3/30/2018 35

TOC

[ 返回列表 ] 下一篇：建材家居年度营销计划制定与实施 .........

问题 12 / 24




URL：： http://localhost/rnjjkh/info_36.aspx









GET /rnjjkh/info_36.aspx?itemid=166&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka=="onmouseover="alert(522)" HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/rnjjkh/info_36_itemid_66.html?CategoryID=4Host: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 23914X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NET

3/30/2018 36

http://localhost/rnjjkh/info_36.aspx

Set-Cookie: ASP.NET_SessionId=m0imcsm0wwbtmapi4v55cbfy; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:12:36 GMTContent-Type: text/html; charset=utf-8

诺贝尔瓷砖营销咨询案例-瓷砖营销案例-瓷砖营销策划案例-瓷砖营销咨询案例-容纳建材家居咨询中心




官方微信快来扫描我吧! ◆

3/30/2018 37

◆


建材经典案例建材家居观点下一篇：友邦集成吊顶案例（第一期） .........


3/30/2018 38

TOC问题 13 / 24




URL：： http://localhost/rnlxzj/info_42.aspx









522

3/30/2018 39

http://localhost/rnlxzj/info_42.aspx


GET /rnlxzj/info_42.aspx?itemid=17&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka=="onmouseover="alert(555)" HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/rnlxzj/info_42_itemid_18.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 19859X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=3wlmlmjz4tu0kehwlu1vc5jf; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:14:02 GMTContent-Type: text/html; charset=utf-8




容纳集团官网| 容纳品牌咨询中心| 中略商学院|

3/30/2018 40

容纳网络咨询中心| $(".Topnav").find("em:last").remove(); 官方微博



建材经典案例建材家居观点

...

...

...

[ 返回列表 ] 下一篇：徐昌平 //上下一篇.........


3/30/2018 41

TOC问题 14 / 24




URL：： http://localhost/zyzz/list_47.aspx









555

3/30/2018 42

http://localhost/zyzz/list_47.aspx


GET /zyzz/list_47.aspx?ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==%27onmouseover%3D%22alert%28441%29%22&page=1 HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/zyzz/list_47.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 21760X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=vblbaetheoc3oigtythaud5w; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:11:14 GMTContent-Type: text/html; charset=utf-8




容纳集团官网| 容纳品牌咨询中心| 中略商学院|

3/30/2018 43

TOC

容纳网络咨询中心| $(".Topnav").find("em:last").remove(); 官方微博



目前在第1页, 共有1页, 共有6条记录第一页上一页




URL：： http://localhost/jckhpj/info_37.aspx









GET /jckhpj/info_37.aspx?itemid=147&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka=="onmouseover="alert(547)" HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/jckhpj/info_37_itemid_468.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 21454X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=14mmi13ts2cqxuukmbdi1rmo; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:13:30 GMTContent-Type: text/html; charset=utf-8



3/30/2018 45

http://localhost/jckhpj/info_37.aspx

TOC

[ 返回列表 ] 下一篇：友邦集成吊顶股份公司总经理：王吴良 .........

问题 16 / 24



547

3/30/2018 47




URL：： http://localhost/rnlxzj/list_42.aspx









GET /rnlxzj/list_42.aspx?ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==%27onmouseover%3D%22alert%28561%29%22&page=1 HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/rnlxzj/list_42.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 23613X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=3lvrbrzafzsxk4eminipblrz; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:14:22 GMTContent-Type: text/html; charset=utf-8



3/30/2018 48

http://localhost/rnlxzj/list_42.aspx





目前在第1页, 共有1页, 共有6条记录第一页

3/30/2018 49

TOC

上一页




URL：： http://localhost/search/search.aspx









GET /search/search.aspx?ezeip=0LeQ7dRfFN8vYKfz5Ax6Vc2ir0eeimGBRGsq8pCDSz0vf0h787dF%20snSUvjaMgs/LgMKdu2ir10teCfp86L/KA==%27onmouseover%3D%22alert%28604%29%22&page=3 HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/search/search.html?key=%u5EFA%u6750%u8425%u9500Host: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 23325X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=c3erohqylijboeyq0itnuuda; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:14:47 GMTContent-Type: text/html; charset=utf-8



3/30/2018 51

http://localhost/search/search.aspx

TOC

snSUvjaMgs/LgMKdu2ir10teCfp86L/KA=='onmouseover="alert(604)"&page=1' class='a_first'>第一页 1




URL：： http://localhost/jcjjgd/info_39.aspx

实体：实体： info_39.aspx (Page)




差异：差异：路径路径从以下位置进行控制： /jcjjgd/info_39.aspx?itemid=617&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka==

至： ?"onmouseover="alert(1405)"



GET /jcjjgd/info_39.aspx/?"onmouseover="alert(1405)"?itemid=617&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka== HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/jcjjgd/info_39_itemid_618.htmlCookie: Hm_lpvt_2ecf97fd15edf1f5cd52e6d019b38dd6=1522374918; __tins__16771237=%7B%22sid%22%3A%201522374718016%2C%20%22vd%22%3A%2012%2C%20%22expires%22%3A%201522376718206%7D; __51cke__=; __51laig__=12; Hm_lpvt_98311858f0862341bf7172cad627ce06=1522374918; Hm_lvt_98311858f0862341bf7172cad627ce06=1522374718; Hm_lvt_2ecf97fd15edf1f5cd52e6d019b38dd6=1522374718; ASP.NET_SessionId=bk0mplqfllr51qvmqxlbqlxoHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US



3/30/2018 54

http://localhost/jcjjgd/info_39.aspx





首页建.........

[ 返回列表 ]

3/30/2018 55

TOC

//上下一篇.........

问题 19 / 24



1405

3/30/2018 56




URL：： http://localhost/jcjjgd/info_39.aspx









GET /jcjjgd/info_39.aspx?itemid=617&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka=="onmouseover="alert(832)" HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/jcjjgd/info_39_itemid_618.htmlCookie: Hm_lpvt_2ecf97fd15edf1f5cd52e6d019b38dd6=1522374918; __tins__16771237=%7B%22sid%22%3A%201522374718016%2C%20%22vd%22%3A%2012%2C%20%22expires%22%3A%201522376718206%7D; __51cke__=; __51laig__=12; Hm_lpvt_98311858f0862341bf7172cad627ce06=1522374918; Hm_lvt_98311858f0862341bf7172cad627ce06=1522374718; Hm_lvt_2ecf97fd15edf1f5cd52e6d019b38dd6=1522374718; ASP.NET_SessionId=bk0mplqfllr51qvmqxlbqlxoHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US


活动方案仍离不开竞争，竞争无处不在

3/30/2018 57

http://localhost/jcjjgd/info_39.aspx





首页

TOC

下一篇：建材家居企业的换空间之战 .........

问题 20 / 24



832

3/30/2018 59




URL：： http://localhost/rnlxzj/info_42.aspx





差异：差异：路径路径从以下位置进行控制： /rnlxzj/info_42.aspx?itemid=17&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka==




GET /rnlxzj/info_42.aspx/?"onmouseover="alert(1008)"?itemid=17&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka== HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/rnlxzj/info_42_itemid_18.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 19776X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=yqnp022bfskynf1vtpg1engb; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:29:22 GMTContent-Type: text/html; charset=utf-8



3/30/2018 60

http://localhost/rnlxzj/info_42.aspx





建材经典案例建材家居观点 .........

3/30/2018 61

TOC

[ 返回列表 ] //上下一篇.........

问题 21 / 24



1008

3/30/2018 62




URL：： http://localhost/rnjjkh/info_36.aspx





差异：差异：路径路径从以下位置进行控制： /rnjjkh/info_36.aspx?itemid=563&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka==




GET /rnjjkh/info_36.aspx/?"onmouseover="alert(973)"?itemid=563&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka== HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/rnjjkh/info_36_itemid_433.html?CategoryID=8Host: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 33284X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=anfmiozxqj25wyg3ypmcp5m4; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:29:09 GMTContent-Type: text/html; charset=utf-8



3/30/2018 63

http://localhost/rnjjkh/info_36.aspx

TOC

//上下一篇.........

问题 22 / 24



973

3/30/2018 65




URL：： http://localhost/jcxwzx/info_40.aspx





差异：差异：路径路径从以下位置进行控制： /jcxwzx/info_40.aspx?itemid=615&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka==




GET /jcxwzx/info_40.aspx/?"onmouseover="alert(953)"?itemid=615&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka== HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/jcxwzx/info_40_itemid_619.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 25848X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=fyw0girstl2o00dvid4wlz0l; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:29:05 GMTContent-Type: text/html; charset=utf-8



3/30/2018 66

http://localhost/jcxwzx/info_40.aspx






3/30/2018 67

TOC

[ 返回列表 ] //上下一篇.........

问题 23 / 24



953

3/30/2018 68




URL：： http://localhost/zyzz/info_47.aspx





差异：差异：路径路径从以下位置进行控制： /zyzz/info_47.aspx?itemid=9&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka==




GET /zyzz/info_47.aspx/?"onmouseover="alert(974)"?itemid=9&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka== HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/zyzz/info_47_itemid_10.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 21652X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=qmo3rvmczsg0pwf2bmgjiltd; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:29:10 GMTContent-Type: text/html; charset=utf-8



3/30/2018 69

http://localhost/zyzz/info_47.aspx

TOC

[ 返回列表 ] //上下一篇.........

问题 24 / 24



974

3/30/2018 71




URL：： http://localhost/jckhpj/info_37.aspx





差异：差异：路径路径从以下位置进行控制： /jckhpj/info_37.aspx?itemid=147&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka==




GET /jckhpj/info_37.aspx/?"onmouseover="alert(1006)"?itemid=147&ezeip=0leq7drffn8vykfz5ax6vc2ir0eeimgbrgsq8pcdsz0vf0h787df+snsuvjamgs/lgmkdu2ir10tecfp86l/ka== HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoReferer: http://localhost/jckhpj/info_37_itemid_468.htmlHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 200 OKx-ua-compatible: IE=edge,chrome=1Server: Microsoft-IIS/10.0Content-Length: 21453X-AspNet-Version: 4.0.30319Cache-Control: privateX-Powered-By: ASP.NETSet-Cookie: ASP.NET_SessionId=rn4hp0jkjcgpgzgw5h5o1omx; path=/; HttpOnlyDate: Fri, 30 Mar 2018 03:29:22 GMTContent-Type: text/html; charset=utf-8



3/30/2018 72

http://localhost/jckhpj/info_37.aspx






3/30/2018 73

[ 返回列表 ] //上下一篇.........



1006

3/30/2018 74

TOC

低 Apache Tomcat 示例 Servlet 路径泄露 19 TOC

问题 1 / 19

Apache Tomcat 示例示例 Servlet 路径泄露路径泄露严重性：严重性：低低


URL：： http://localhost/

实体：实体： pageInfo.jsp (Page)

风险：风险：可能会检索 Web 服务器安装的绝对路径，这可能会帮助攻击者开展进一步攻击和获取有关 Web 应用程序文件系统结构的信息

原因：原因：在 Web 站点上安装了缺省样本脚本或目录

固定值：固定值：除去站点中的所有样本目录

差异：差异：路径路径从以下位置进行控制： / 至： /test/jsp/pageInfo.jsp

推理：推理：响应包含服务器上文件的绝对路径和/或文件名。测试请求和响应：测试请求和响应：

GET /test/jsp/pageInfo.jsp HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 404 Not FoundServer: Microsoft-IIS/10.0Content-Length: 4733Cache-Control: privateX-Powered-By: ASP.NETDate: Fri, 30 Mar 2018 03:35:32 GMTContent-Type: text/html; charset=utf-8

IIS 10.0 详细错误 - 404.0 - Not Found

legend.no-expand-all{padding:2px 15px 4px 10px;margin:0 0 0 -12px;} legend{color:#333333;;margin:4px 0 8px -12px;_margin-top:0px; font-weight:bold;font-size:1em;} a:link,a:visited{color:#007EFF;font-weight:bold;} a:hover{text-decoration:none;} h1{font-size:2.4em;margin:0;color:#FFF;} h2{font-size:1.7em;margin:0;color:#CC0000;} h3{font-size:1.4em;margin:10px 0 0 0;color:#CC0000;} h4{font-size:1.2em;margin:10px 0 5px 0; }#header{width:96%;margin:0 0 0 0;padding:6px 2% 6px 2%;font-family:"trebuchet MS",Verdana,sans-serif; color:#FFF;background-color:#5C87B2; }#content{margin:0 0 0 2%;position:relative;} .summary-container,.content-container{background:#FFF;width:96%;margin-top:8px;padding:10px;position:relative;} .content-container p{margin:0 0 10px 0; }#details-left{width:35%;float:left;margin-right:2%; }#details-right{width:63%;float:left;overflow:hidden; }#server_version{width:96%;_height:1px;min-height:1px;margin:0 0 5px 0;padding:11px 2% 8px 2%;color:#FFFFFF; background-color:#5A7FA5;border-bottom:1px solid #C1CFDD;border-top:1px solid #4A6C8E;font-weight:normal; font-size:1em;color:#FFF;text-align:right; }#server_version p{margin:5px 0;} table{margin:4px 0 4px 0;width:100%;border:none;} td,th{vertical-align:top;padding:3px 0;text-align:left;font-weight:normal;border:none;} th{width:30%;text-align:right;padding-right:2%;font-weight:bold;} thead th{background-color:#ebebeb;width:25%; }#details-right th{width:20%;} table tr.alt td,table tr.alt th{} .highlight-code{color:#CC0000;font-weight:bold;font-style:italic;} .clear{clear:both;} .preferred{padding:0 5px 2px 5px;font-weight:normal;background:#006633;color:#FFF;font-size:.8em;} --> HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。最可能的原因: 指定的目录或文件在 Web 服务器上不存在。 URL 拼写错误。某个自定义筛选器或模块(如 URLScan)限制了对该文件的访问。可尝试的操作: 在 Web 服务器上创建内容。检查浏览器 URL。创建跟踪规则以跟踪此 HTTP 状态代码的失败请求，并查看是哪个模块在调用 SetStatus。有关为失败的请求创建跟踪规则的详细信息，请单击此处。详细错误信息: 模块 IIS Web Core 通知 MapRequestHandler 处理程序 StaticFile 错误代码 0x80070002 请求的 URL http://localhost:80/test/jsp/pageInfo.jsp 物理路径 E:\web\rn\test\jsp\pageInfo.jsp 登录方法匿名登录用户匿名

3/30/2018 76

TOC

详细信息: 此错误表明文件或目录在服务器上不存在。请创建文件或目录并重新尝试请求。

查看详细信息 »

问题 2 / 19

Apache Tomcat 示例示例 Servlet 路径泄露路径泄露严重性：严重性：低低


URL：： http://localhost/

实体：实体： pageImport2.jsp (Page)

风险：风险：可能会检索 Web 服务器安装的绝对路径，这可能会帮助攻击者开展进一步攻击和获取有关 Web 应用程序文件系统结构的信息

原因：原因：在 Web 站点上安装了缺省样本脚本或目录

固定值：固定值：除去站点中的所有样本目录

差异：差异：路径路径从以下位置进行控制： / 至： /test/jsp/pageImport2.jsp

推理：推理：响应包含服务器上文件的绝对路径和/或文件名。测试请求和响应：测试请求和响应：

GET /test/jsp/pageImport2.jsp HTTP/1.1User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like GeckoHost: localhostAccept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8Accept-Language: en-US

HTTP/1.1 404 Not FoundServer: Microsoft-IIS/10.0Content-Length: 4739Cache-Control: privateX-Powered-By: ASP.NETDate: Fri, 30 Mar 2018 03:35:32 GMTContent-Type: text/html; charset=utf-8

IIS 10.0 详细错误 - 404.0 - Not Found

code{margin:0;color:#006600;font-size:1.1em;font-weight:bold;} .config_source code{font-size:.8em;color:#000000;} pre{margin:0;font-size:1.4em;word-wrap:break-word;} ul,ol{margin:10px 0 10px 5px;} ul.first,ol.first{margin-top:5px;} fieldset{padding:0 15px 10px 15px;word-break:break-all;} .summary-container fieldset{padding-bottom:5px;margin-top:4px;} legend.no-expand-all{padding:2px 15px 4px 10px;margin:0 0 0 -12px;} legend{color:#333333;;margin:4px 0 8px -12px;_margin-top:0px; font-weight:bold;font-size:1em;} a:link,a:visited{color:#007EFF;font-weight:bold;} a:hover{text-decoration:none;} h1{font-size:2.4em;margin:0;color:#FFF;} h2{font-size:1.7em;margin:0;color:#CC0000;} h3{font-size:1.4em;margin:10px 0 0 0;color:#CC0000;} h4{font-size:1.2em;margin:10px 0 5px 0; }#header{width:96%;margin:0 0 0 0;padding:6px 2% 6px 2%;font-family:"trebuchet MS",Verdana,sans-serif; color:#FFF;background-color:#5C87B2; }#content{margin:0 0 0 2%;position:relative;} .summary-container,.content-container{background:#FFF;width:96%;margin-top:8px;padding:10px;position:relative;} .content-container p{margin:0 0 10px 0; }#details-left{width:35%;float:left;margin-right:2%; }#details-right{width:63%;float:left;overflow:hidden; }#server_version{width:96%;_height:1px;min-height:1px;margin:0 0 5px 0;padding:11px 2% 8px 2%;color:#FFFFFF; background-color:#5A7FA5;border-bottom:1px solid #C1CFDD;border-top:1px solid #4A6C8E;font-weight:normal; font-size:1em;color:#FFF;text-align:right; }#server_version p{margin:5px 0;} table{margin:4px 0 4px 0;width:100%;border:none;} td,th{vertical-align:top;padding:3px 0;text-align:left;font-weight:normal;border:none;} th{width:30%;text-align:right;padding-right:2%;font-weight:bold;} thead th{background-color:#ebebeb;width:25%; }#details-right th{width:20%;} table tr.alt td,table tr.alt th{} .highlight-code{color:#CC0000;font-weight:bold;font-style:italic;} .clear{clear:both;} .preferred{padding:0 5px 2px 5px;font-weight:normal;background:#006633;color:#FFF;font-size:.8em;} --> HTTP 错误 404.0 - Not Found 您要找的资源已被删除、已更名或暂时不可用。最可能的原因: 指定的目录或文件在 Web 服务器上不存在。 URL 拼写错误。某个自定义筛选器或模块(如 URLScan)限制了对该文件的访问。可尝试的操作: 在 Web 服务器上创建内容。检查浏览器 URL。创建跟踪规则以跟踪此 HTTP 状态代码的失败请求，并查看是哪个模块在调用 SetStatus。有关为失败的请求创建跟踪规则的详细信息，请单击此处。详细错误信息: 模块 IIS Web Core 通知 MapRequestHandler 处理程序 StaticFile 错误代码 0x80070002

3/30/2018 78

TOC

请求的 URL http://localhost:80/test/jsp/pageImport2.jsp 物理路径 E:\web\rn\test\jsp\pageImport2.jsp 登录方法匿名登录用户匿名

Documents

Web 应用程序报告 - welchmat.com · SRI (Subresource Integrity) 的检查 61 TYPO3 Cumulus Tagcloud 扩展路径泄露 1 不安全的第三方链接 (target="_blank") 61 启用了