漏洞檢測工(gōng)具beta版上線

很高興通知(zhī)大(dà)家，百度站長平台推出重磅站長安全工(gōng)具——漏洞檢測工(gōng)具，可以檢測您的網站存在哪些風險，并能根據不同的風險給出詳細的修複建議及該風險的危險等級，主要漏洞類型見下(xià)方介紹。爲了保證網站的安全運營，建議您定期使用該工(gōng)具對網站進行漏洞檢測。國内超三分(fēn)之二網站存在高危漏洞百度安全聯盟合作夥伴知(zhī)道創宇旗下(xià)的安全工(gōng)具Scanv及加速樂監測到國内有高危漏洞的網站占全網的三分(fēn)之二以上，每天防護的僵屍網絡攻擊高達1億餘次。如果網站的漏洞由于未及時修複導緻被黑客利用入侵，必然會嚴重影響網站的用戶體(tǐ)驗及網站的正常運營，最終會影響到您的網站在百度網頁搜索中(zhōng)的體(tǐ)現。網站漏洞問題非常嚴重，網站安全爲網站運營的重中(zhōng)之重，希望站長們重視安全問題，用好漏洞檢測工(gōng)具，保證網站的安全運轉及用戶體(tǐ)驗。同時推薦使用百度安全聯盟合作夥伴：知(zhī)道創宇旗下(xià)的安全工(gōng)具Scanv及加速樂有效的保護您的網站不被黑客破壞。如何使用漏洞檢測工(gōng)具第一(yī)步，注冊并登錄百度站長平台第二步，提交網站并驗證歸屬，具體(tǐ)驗證網站歸屬方法可見幫助文檔第三步，選擇左側“站點管理”第四步，在已認證歸屬的站點列表中(zhōng)選擇需要查詢的站點第五步，選擇左側“漏洞檢測”第六步，可檢測到網站是否存在漏洞問題（主要展示形式如下(xià)圖）漏洞類型說明1、高危漏洞高危漏洞包括：SQL注入漏洞、XSS跨站腳本漏洞、頁面存在源代碼洩露、網站存在備份文件、網站存在包含SVN信息的文件、網站存在Resin任意文件讀取漏洞。SQL注入漏洞：網站程序忽略了對輸入字符串中(zhōng)包含的SQL語句的檢查，使得包含的SQL語句被數據庫誤認爲是合法的SQL指令而運行，導緻數據庫中(zhōng)各種敏感數據被盜取、更改或删除。XSS跨站腳本漏洞：網站程序忽略了對輸入字符串中(zhōng)特殊字符與字符串（如<>`"<script><iframe>onload）的檢查，使得攻擊者可以欺騙用戶訪問包含惡意JavaScript代碼的頁面，使得惡意代碼在用戶浏覽器中(zhōng)執行，從而導緻目标用戶權限被盜取或數據被篡改。頁面存在源代碼洩露：頁面存在源代碼洩露,可能導緻網站服務的關鍵邏輯、配置的賬号密碼洩露，攻擊者利用該信息會更容易得到網站權限，導緻網站被黑。網站存在備份文件：如數據庫備份文件、網站源碼備份文件等，攻擊者利用該信息可以更容易得到網站權限，導緻網站被黑。網站存在包含SVN信息的文件：網站存在包含SVN信息的文件，這是網站源碼的版本控制器私有文件，裏面包含SVN服務的地址、提交的私有文件名、SVN用戶名等信息，該信息有助于攻擊者更全面了解網站的架構，爲攻擊者入侵網站提供幫助。網站存在Resin任意文件讀取漏洞：安裝某些版本Resin服務器的網站存在可讀取任意文件的漏洞，攻擊者利用該漏洞可以讀取網站服務器的任意文件内容，導緻網站被黑。2、中(zhōng)危漏洞中(zhōng)危漏洞包括：網站存在目錄浏覽漏洞、網站存在PHPINFO文件、網站存在服務器環境探針文件、網站存在日志(zhì)信息文件、網站存在JSP示例文件。網站存在目錄浏覽漏洞：網站存在配置缺陷，存在目錄可浏覽漏洞，這會導緻網站很多隐私文件與目錄洩露，比如數據庫備份文件、配置文件等，攻擊者利用該信息可以更容易得到網站權限，導緻網站被黑。網站存在PHPINFO文件：這個是PHP特有的信息文件，會導緻網站的大(dà)量架構信息洩露，該信息有助于攻擊者更全面了解網站的架構，爲攻擊者入侵網站提供幫助。網站存在服務器環境探針文件：該文件會導緻網站的大(dà)量架構信息洩露，該信息有助于攻擊者更全面了解網站的架構，爲攻擊者入侵網站提供幫助。網站存在日志(zhì)信息文件：該文件包含的錯誤信息會導緻網站的一(yī)些架構信息洩露，該信息有助于攻擊者更全面了解網站的架構，爲攻擊者入侵網站提供幫助。網站存在JSP示例文件：該文件的弱口令會導緻網站的大(dà)量架構信息洩露，該信息有助于攻擊者更全面了解網站的架構，爲攻擊者入侵網站提供幫助。3、低危漏洞低危漏洞包括：頁面上存在網站程序的調試信息、網站存在後台登錄地址、網站存在服務端統計信息文件、網站存在敏感目錄。頁面上存在網站程序的調試信息：頁面上存在數據庫信息，例如數據庫名、數據庫管理員(yuán)名，該信息有助于攻擊者更全面了解網站的架構，爲攻擊者入侵網站提供幫助。網站存在後台登錄地址：攻擊者經常使用這個地址進行網站的後台登陸，比如弱密碼、表單繞過、暴力破解等，從而得到網站的權限。網站存在服務端統計信息文件：該文件會導緻網站的一(yī)些架構信息洩露，該信息有助于攻擊者更全面了解網站的架構，爲攻擊者入侵網站提供幫助。網站存在敏感目錄：如/upload/database/bak，該信息有助于攻擊者更全面了解網站的架構，爲攻擊者入侵網站提供幫助。