校友会系统_校友会管理软件_校友会小程序开发/报价/功能_校友会程序价格—校友会系统官方平台网址

客茂校友会漏洞评估报告

Posted by

目   录

1 主机信息………………………………………………….. 3

2 脆弱账号………………………………………………….. 3

2.1 脆弱账号列表…………………………………………………… 3

3 漏洞信息………………………………………………….. 3

3.1 漏洞概况……………………………………………………… 3

3.2 漏洞详情……………………………………………………… 3

3.2.1 信息……………………………………………………… 3

4 其他信息………………………………………………….. 4

4.1 操作系统……………………………………………………… 4

4.2 端口信息……………………………………………………… 4

4.3 安装软件……………………………………………………… 5

4.4 Banner信息……………………………………………………… 5

附录A 评估标准………………………………………………. 5

附录A.1 主机等级评估标准……………………………………………. 5

附录A.2 漏洞等级评估标准……………………………………………. 5

1 主机信息

本次评估对象客茂校友会软件采用全部漏洞扫描模板进行扫描,客茂校友会软件共开放3个端口,存在漏洞个数3个,高危及以上漏洞个数0个,主机安全评分为99分,可以判断当前被评估对象正面临的安全风险等级为非常安全,为了您的资产安全,请及时修复所发现的安全漏洞。

IP地址192.168.34.36
操作系统Linux 3.10 – 4.11
扫描模板全部漏洞扫描
时间统计开始时间:2023-07-05 11:05:51
结束时间:2023-07-05 11:09:26
扫描耗时:3分35秒
创建者admin

2 脆弱账号

2.1 脆弱账号列表

3 漏洞信息

3.1 客茂校友会软件漏洞概况

tcphttp

端口协议服务漏洞
0GeneratedICMP时间戳检测(原理扫描)
80tcphttpGeneratedHTTP Server类型和版本号
8087GeneratedHTTP Server类型和版本号

3.2 漏洞详情

3.2.1 信息

漏洞名称ICMP时间戳检测(原理扫描)
漏洞描述远程主机响应ICMP时间戳请求。 时间戳回复是回复时间戳消息的ICMP消息。 它由时间戳的发送者发送的始发时间戳以及接收时间戳和发送时间戳组成。 客茂校友会软件这个信息理论上可以用来开发其他服务中基于时间的弱随机数发生器。
修复建议过滤外来的ICMP timestamp(类型 13)报文以及外出的ICMP timestamp回复报文
CVSS评分0.0
发现日期1997-08-01 00:00:00
CVE编号CVE-1999-0524
CNNVD编号CNNVD-199708-003
CNCVE编号CNCVE-19990524
漏洞名称HTTP Server类型和客茂校友会软件版本号
漏洞描述此策略枚举检测HTTP服务器类型,并设置相应KB。
修复建议配置您的服务器以使用像’Wintendo httpD w/Dotmatrix display’等替代名称,一定要删除像apache_pb.gif等常见的标志。客茂校友会软件如果目前使用的是Apache,您可以通过设置’ServerTokens Prod’来限制从服务器发出的响应头中的信息。
CVSS评分0.0

4 其他信息

4.1 操作系统

操作系统-版本号
Linux 3.10 – 4.11

4.2 端口信息

端口协议服务状态软件/版本
3306tcpmysqlopenMySQL/
8087tcphttpopenApache Tomcat/Coyote JSP engine/1.1
80tcphttpopennginx/

4.3 安装软件

软件名称版本号
MySQL 
Apache Tomcat/Coyote JSP engine1.1
nginx 

4.4 Banner信息

端口版本号
3306MySQL
8087Apache Tomcat/Coyote JSP engine
80nginx

前定义有四类风险等级,具体定义依据扫描的漏洞结果根据算法得出风险等级:

风险等级说明
非常危险主机安全评分1-45分
比较危险主机安全评分46-57分
比较安全主机安全评分58-75分
非常安全主机安全评分76-100分

目前定义有五类风险等级,具体定义依据评分系统CVSS V3.0结合实际可能造成的影响评估:

风险等级说明
紧急可以直接被利用的漏洞,且利用难度较低。被攻击之后可能对主机的正常运行造成严重影响,或对用户财产及个人信息造成重大损失。
高危被利用之后,造成的影响较大,但直接利用难度较高的漏洞,或本身无法直接攻击,但能为进一步攻击造成极大便利的漏洞
中危利用难度较高,或满足严格要求才能实现攻击的漏洞,或漏洞本身无法被直接攻击,但能为进一步攻击起较大帮助作用的漏洞
低危无法直接实现攻击,但提供的信息可能让攻击者更容易找到其他安全漏洞。
信息本身对主机安全没有直接影响,提供的信息可能为攻击者提供少量帮助,或可用于其他手段的攻击。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注