滲透測試測試報告

1、XX TITLE * MERGEFORMAT 移動XXX系統(tǒng)滲透測試報告 版本變更記錄時間版本說明修改人目 錄 TOC h z t 附錄1綠盟科技,1,附錄2綠盟科技,2,附錄3綠盟科技,3,附錄4綠盟科技,4,標(biāo)題 1綠盟科技,1,標(biāo)題 2綠盟科技,2,標(biāo)題 3綠盟科技,3 HYPERLINK l _Toc463944157 附錄A威脅程度分級 PAGEREF _Toc463944157 h 17 HYPERLINK l _Toc463944158 附錄B相關(guān)資料 PAGEREF _Toc463944158 h 17摘要經(jīng)XXX的授權(quán)，XX科技滲透測試小組對XXX下屬XXX系統(tǒng)證書版進(jìn)行了滲

2、透測試。測試結(jié)果如下：嚴(yán)重問題：4個中等問題：1個輕度問題：1個平安風(fēng)險分布圖詳細(xì)內(nèi)容如下表：發(fā)現(xiàn)問題詳細(xì)內(nèi)容問題等級種類數(shù)量名稱嚴(yán)重問題4種1個登錄XXX系統(tǒng)USBKey認(rèn)證可繞過漏洞1個轉(zhuǎn)賬匯款USBKey認(rèn)證可繞過漏洞1個轉(zhuǎn)賬匯款數(shù)字簽名設(shè)計缺陷1個輸入驗證機(jī)制設(shè)計缺陷中等問題1種1個缺少第二信道認(rèn)證輕度問題1種1個信息泄露XX科技認(rèn)為被測系統(tǒng)當(dāng)前平安狀態(tài)是：遠(yuǎn)程不平安系統(tǒng)效勞概述本次滲透測試工作是由XX科技的滲透測試小組獨立完成的。XX科技滲透測試小組在2022年4月xx日至2022年4月xx日對XXX的新XXX系統(tǒng)進(jìn)行了遠(yuǎn)程滲透測試工作。在此期間，XX科技滲透測試小組利用局部前沿的攻

3、擊技術(shù)；使用成熟的黑客攻擊手段；集合軟件測試技術(shù)標(biāo)準(zhǔn)對指定網(wǎng)絡(luò)、系統(tǒng)做入侵攻擊測試，希望由此發(fā)現(xiàn)網(wǎng)站、應(yīng)用系統(tǒng)中存在的平安漏洞和風(fēng)險點。測試流程XX科技滲透測試效勞流程定義為如下階段：信息收集：此階段中，XX科技測試人員進(jìn)行必要的信息收集，如 IP 地址、DNS 記錄、軟件版本信息、IP 段、Google中的公開信息等。滲透測試：此階段中，XX科技測試人員根據(jù)第一階段獲得的信息對網(wǎng)絡(luò)、系統(tǒng)進(jìn)行滲透測試。此階段如果成功的話，可能獲得普通權(quán)限。缺陷利用：此階段中，XX科技測試人員嘗試由普通權(quán)限提升為管理員權(quán)限，獲得對系統(tǒng)的完全控制權(quán)。在時間許可的情況下，必要時從第一階段重新進(jìn)行。成果收集：此階段中

4、，XX科技測試人員對前期收集的各類弱點、漏洞等問題進(jìn)行分類整理，集中展示。威脅分析：此階段中，XX科技測試人員對發(fā)現(xiàn)的上述問題進(jìn)行威脅分類和分析其影響。輸出報告：此階段中，XX科技測試人員根據(jù)測試和分析的結(jié)果編寫直觀的滲透測試效勞報告。信息收集 缺陷 利用 成果 收集 威脅 分析循環(huán)輸出報告 滲透 測試 滲透測試流程風(fēng)險管理及躲避為保障客戶系統(tǒng)在滲透測試過程中穩(wěn)定、平安的運轉(zhuǎn)，我們將提供以下多種方式來進(jìn)行風(fēng)險躲避。對象的選擇為更大程度的防止風(fēng)險的產(chǎn)生，滲透測試還可選擇對備份系統(tǒng)進(jìn)行測試。因為備份系統(tǒng)與在線系統(tǒng)所安裝的應(yīng)用和承載的數(shù)據(jù)差異較小，而其穩(wěn)定性要求又比在線系統(tǒng)低，因此，選擇對備份系統(tǒng)進(jìn)

5、行測試也是躲避風(fēng)險的一種常見方式。時間的控制從時間安排上，測試人員將將盡量防止在數(shù)據(jù)頂峰時進(jìn)行測試，以此來減小測試工作對被測試系統(tǒng)帶來的壓力。另外，測試人員在每次測試前也將通過 、郵件等方式告知相關(guān)人員，以防止測試過程中出現(xiàn)意外情況。技術(shù)手段XX科技的滲透測試人員都具有豐富的經(jīng)驗和技能，在每一步測試前都會預(yù)估可能帶來的后果，對于可能產(chǎn)生影響的測試如：溢出攻擊將被記錄并跳過，并在隨后與客戶協(xié)商決定是否進(jìn)行測試及測試方法。監(jiān)控措施針對每一系統(tǒng)進(jìn)行測試前，測試人員都會告知被測試系統(tǒng)管理員，并且在測試過程中會隨時關(guān)注目標(biāo)系統(tǒng)的負(fù)荷等信息，一旦出現(xiàn)任何異常，將會停止測試。工具的使用在使用工具測試的過程中

6、，測試人員會通過設(shè)置線程、插件數(shù)量等參數(shù)來減少其對系統(tǒng)的壓力，同時還會去除任何可能對目標(biāo)系統(tǒng)帶來危害的插件，如：遠(yuǎn)程溢出攻擊類插件、拒絕效勞攻擊類插件等等。測試收益通過實施滲透測試效勞，可對貴方的信息化系統(tǒng)起到如下推進(jìn)作用：明確平安隱患點滲透測試是一個從空間到面再到點的過程，測試人員模擬黑客的入侵，從外部整體切入最終落至某個威脅點并加以利用，最終對整個網(wǎng)絡(luò)產(chǎn)生威脅，以此明確整體系統(tǒng)中的平安隱患點。提高平安意識如上所述，任何的隱患在滲透測試效勞中都可能造成“千里之堤潰于蟻穴的效果，因此滲透測試效勞可有效催促管理人員杜絕任何一處小的缺陷，從而降低整體風(fēng)險。提高平安技能在測試人員與用戶的交互過程中，

7、可提升用戶的技能。另外，通過專業(yè)的滲透測試報告，也能為用戶提供當(dāng)前流行平安問題的參考。測試目標(biāo)說明測試對象測試對象名稱相關(guān)域名、對應(yīng)的URL新XXX系統(tǒng)平臺證書版登錄 s:/xx /IP地址：114.xx.xx.xx測試賬號測試賬號名稱相關(guān)詳細(xì)信息XXX系統(tǒng)賬號賬號所有者：XXID：95xxPIN碼：xxXXX系統(tǒng)登錄名zhdh 密碼xx 賬號所有者：xxID：95xx PIN碼：XXXXX系統(tǒng)登錄名xx 密碼xx時間測試工作的時間段起始時間2022-4-xx結(jié)束時間2022-4-xx本份測試報告分析的各種平安風(fēng)險，僅限定于在上述時間段內(nèi)測試反響信息的整理，不包括非上述時間段內(nèi)的因系統(tǒng)調(diào)整、維

8、護(hù)更新后出現(xiàn)的其他變化情況。參與測試人員參測人員名單姓名所屬部門聯(lián)系方式姓名所屬部門聯(lián)系方式測試環(huán)境本次滲透測試過程中，XX科技測試小組使用過多個互聯(lián)網(wǎng)IP地址開展的分析工作，在此通知XXX新XXX系統(tǒng)相關(guān)人員在對受測試的目標(biāo)站點效勞器、相應(yīng)的網(wǎng)絡(luò)入侵檢測系統(tǒng)進(jìn)行平安監(jiān)控和日志分析時，排除以下IP地址產(chǎn)生的任何違規(guī)信息，以保證分析結(jié)果的準(zhǔn)確有效。IP地址IP地址IP地址IP地址暫無暫無工具及相關(guān)資源測試工具：NetCat工具名稱NetCat工具用途端口連接，數(shù)據(jù)提交相關(guān)信息 :/files/nc111nt.zip測試工具：Nmap工具名稱Nmap工具用途端口掃描，效勞識別，操作系統(tǒng)指紋識別相關(guān)

9、信息 :/測試工具： rint工具名稱 rint工具用途通過遠(yuǎn)程 指紋判斷 效勞類型相關(guān)信息.net-square / rint/測試工具：Tamper IE工具名稱Tamper IE工具用途 數(shù)據(jù)包修改、轉(zhuǎn)發(fā)工具Firefox插件相關(guān)信息測試工具：平安檢測工具集工具名稱XX科技整理的平安檢測工具集工具用途跨站及SQL注入測試、遠(yuǎn)程溢出測試、暴力破解測試、嗅探分析 相關(guān)信息 xxS 在具體的分析過程中，XX科技測試小組在微軟的Windows平臺上涵蓋2022/Vista，使用了IE涵蓋6.0/7.0/8.0和Firefox瀏覽器對指定的測試對象進(jìn)行的分析、校驗、測試。因此，漏洞分析檢測到的局部

10、平安問題可能與特定的操作系統(tǒng)、軟件版本有具體關(guān)系，提醒后期實施漏洞修復(fù)工作的人員特別注意其中的差異。測試過程詳述目標(biāo)信息探測域名信息滲透測試人員首先通過nslookup對主機(jī)的IP地址、NS記錄等信息的查詢，對站點進(jìn)行根本的信息探測：Default Server: Address: xx.xx /查詢ns記錄 set type=ns xx Non-authoritative answer:xx nameserver = xx Default Server: xx Address: 123.127.xx.xx/測試區(qū)域傳輸 set type=axfr ls -d xx ls: connect:

11、No error* Cant list domain xx : Unspecified errorThe DNS server refused to transfer the zone xx to your computer. If thisis incorrect, check the zone transfer security settings for xx on the DNSserver at IP address 123.xx.xx.xx./查詢站點mx記錄 set type=mx xx Server: xx Address: 123.xx MX preference = 5, m

12、ail exchanger = smtp.xx xx nameserver = xx /檢查版本信息 set type=txt set class=chaos version.bindServer: xx Address: 123.xx.xx.xxversion.bind text = I dont know!version.bind nameserver = version.bind對WWW目標(biāo)進(jìn)行Whois的查詢，下面是獲取到的Whois信息如下：xx.xx = 219.xx.xxx.xx xxxxxxGoogle Hacking搜索錯誤的文件后綴在此過程中，測試人員會對站點進(jìn)行如下內(nèi)容的

13、搜索：搜索內(nèi)容說明site:xx inurl:jsp.baksite:xx.xx inurl:jsp.bak搜索站點中是否存在后綴為jsp.bak的文件，即，某些jsp的備份文件。site:xx filetype:sqlsite:xx.xx filetype:sql搜索站點中是否存在SQL腳本文件site: xx filetype:txtsite: xx.xx filetype:txt查找站點中是否有包含敏感信息的txt文件site: xx filetype:confsite: xx.xx filetype:conf查找站點中是否有包含敏感信息的conf文件通過上述方法測試，測試人沒有在Goo

14、gle和Baidu等互聯(lián)網(wǎng)公共搜索效勞商搜索出與之相關(guān)的敏感信息。查找第三方組件或程序在此過程中，測試人員會對站點進(jìn)行如下內(nèi)容的搜索：搜索內(nèi)容說明site:xx inurl:/fckeditor/site:xx.xx inurl:/fckeditor/搜索站點是否使用了fckeditorsite:xx inurl:jsp?id inurl:ewebeditorsite:xx.xx inurl:jsp?id inurl:ewebeditor搜索站點是否使用了 eWebEditor通過上述方法測試，測試人沒有在Google和Baidu等互聯(lián)網(wǎng)公共搜索效勞商搜索出與之相關(guān)的敏感信息。搜索錯誤的配置在

15、此過程中，測試人員會對站點進(jìn)行如下內(nèi)容的搜索：搜索內(nèi)容說明site:xx intitle:index of /site:xx.xx intitle:index of /搜索站點是否使用了列目錄功能site:xx intitle:Apache Tomcat intitle:Error Report搜索站點是否存在TOMCAT錯誤信息，通過錯誤信息可判斷TOMCAT版本site:xx inurl:examplessite:xx inurl:examples搜索站點中是否存在測試代碼通過上述方法測試，測試人沒有在Google和Baidu等互聯(lián)網(wǎng)公共搜索效勞商搜索出與之相關(guān)的敏感信息。對系統(tǒng)的測試端口

16、掃描通過使用Nmap端口掃描工具對主機(jī)在Internet上的端口開放情況進(jìn)行檢查：Nmap掃描結(jié)果通過Nmap掃描報告，確認(rèn)主機(jī)開放兩個端口：TCP 21用于FTP效勞TCP 443用于WEB效勞通過使用ncNetCat對主機(jī)的TCP 21進(jìn)行端口連接性測試，發(fā)現(xiàn)在連接成功后較長時間內(nèi)端口無反響：使用nc連接TCP 21再次通過使用ftp客戶端對目標(biāo)系統(tǒng)發(fā)起FTP連接請求，得到信息“Connection closed by remote host.：使用ftp客戶端對目標(biāo)主機(jī)進(jìn)行驗證由此可確認(rèn)TCP 21雖開放，但應(yīng)在網(wǎng)絡(luò)層有相關(guān)的ACL限制，因此無法從Internet對其FTP效勞發(fā)起連接請

17、求。效勞信息探測通過端口掃描判斷，遠(yuǎn)程目標(biāo)主機(jī)僅有TCP 443端口WEB應(yīng)用效勞可用，因此，后繼的滲透測試工作主要針對WEB應(yīng)用本身及運行于WEB應(yīng)用上的代碼展開。首先使用 rint對遠(yuǎn)程主機(jī)的WEB應(yīng)用版本進(jìn)行判斷： rint判斷遠(yuǎn)程WEB應(yīng)用版本根據(jù) rint輸出無法判斷遠(yuǎn)程主機(jī)的WEB應(yīng)用。通過nc手工提交 HEAD請求，依然無法獲取到目標(biāo)WEB應(yīng)用版本信息。使用nc提交 HEAD請求通過nc手工提交 OPTIONS請求，依然無法獲取到目標(biāo)WEB應(yīng)用版本信息。使用nc提交 OPTIONS請求對應(yīng)用的測試測試人員根據(jù)WASC威脅分類 WASC即Web Application Securi

18、ty Consortium。是一個由平安專家、行業(yè)參謀和諸多組織的代表組成的國際團(tuán)體。他們負(fù)責(zé)為 WWW 制定被廣為接受的應(yīng)用平安標(biāo)準(zhǔn)。WASC 組織的關(guān)鍵工程之一是“Web 平安威脅分類，也就是將 Web 應(yīng)用所受到的威脅、攻擊進(jìn)行說明并歸納成具有共同特征的分類。，對應(yīng)用程序的滲透測試從五個類型的平安方面進(jìn)行測試，這五個威脅類型包括：認(rèn)證和授權(quán)、命令執(zhí)行、邏輯攻擊、客戶端攻擊、信息泄露。認(rèn)證和授權(quán)類 命令執(zhí)行類 暴力攻擊LDAP注入認(rèn)證不充分SSI注入會話定置SQL注入會話期限不充分Xpath注入憑證/會話預(yù)測操作系統(tǒng)命令授權(quán)不充分格式字符串攻擊邏輯攻擊類 緩沖區(qū)溢出功能濫用信息泄漏類 拒絕

19、效勞可預(yù)測資源定位客戶端攻擊類 路徑遍歷跨站點腳本編制目錄索引內(nèi)容電子欺騙信息泄露WASC威脅分類圖由于XXX系統(tǒng)區(qū)別于普通的WEB系統(tǒng)，因此，測試人員根據(jù)XXX系統(tǒng)的特點，從實際出發(fā)采用手工測試的方法，對五大類威脅中的局部內(nèi)容進(jìn)行測試。認(rèn)證和授權(quán)類由于XXX系統(tǒng)的特殊性 賬號及密碼信息錯誤將導(dǎo)致賬號鎖定。，測試人員沒有對XXX系統(tǒng)登錄賬號進(jìn)行暴力攻擊的嘗試，而是采用使用證書方式對證書的有效性進(jìn)行測試。此次測試XX新XXX系統(tǒng)采用硬件USBKey即XX，首先，測試人員對正常情況使用USBKey登錄XXX系統(tǒng)進(jìn)行記錄和分析。使用USBKey登錄信息在沒有插入USBKey的情況下，測試人員使用其他

20、銀行的“軟證書 通常所說的瀏覽器證書，非硬件USBKey的電子證書。進(jìn)行登錄：使用其他銀行“軟證書進(jìn)行登錄通過使用Tamper IE截取登錄過程提交的數(shù)據(jù)包，來對登錄信息進(jìn)行替換。測試人員將使用其他銀行“軟證書產(chǎn)生的信息替換為正常使用USBKey登錄產(chǎn)生的dn和sn信息進(jìn)行欺騙。Dn和sn信息如下：Dn信息 ：xxSn信息 ：xx威脅點替換登錄過程的數(shù)據(jù)信息經(jīng)上述測試發(fā)現(xiàn)，XXX證書版USBKey登錄過程中，由XXX系統(tǒng)盾證書認(rèn)證的相關(guān)信息SN為固定信息，任何提交者均可通過登錄認(rèn)證，存在“繞過登錄XX新XXX系統(tǒng)的漏洞 威脅點，附錄像。同時，測試人員通過枚舉表單的方式，同樣可以獲取登錄過程中的

21、相關(guān)認(rèn)證信息，例如：dn、sn信息。采用表單枚舉的方式獲取登錄信息在轉(zhuǎn)賬匯款測試時，測試人員通過上述方法同樣可以繞過USBKey的使用，對行內(nèi)轉(zhuǎn)賬、跨行匯款進(jìn)行成功操作。同時，在轉(zhuǎn)賬匯款的測試中，測試人員發(fā)現(xiàn)：轉(zhuǎn)賬匯款的最后步驟即：“確認(rèn)操作時，由客戶端向效勞器端提交“簽名加密代碼，該步驟存在設(shè)計缺陷，導(dǎo)致“簽名加密代碼只要是正確途徑產(chǎn)生的“代碼都可以進(jìn)行成功交易，而與每次交易的信息無關(guān)。威脅點，附錄像測試人員第一次轉(zhuǎn)賬時使用xx的賬號*7588卡號向xx賬號的* 9600卡號進(jìn)行匯款，在最后確認(rèn)過程中記錄“sigEncryptCode值和“randomTokenVerifyTag值。記錄向x

22、x賬號匯款“確認(rèn)過程中相關(guān)信息然后，測試人員第二次轉(zhuǎn)賬時使用xx的賬號*7588卡號向xx的賬號的*2758卡號進(jìn)行匯款，在最后確認(rèn)過程中記錄替換“sigEncryptCode值為向xx賬號匯款“確認(rèn)過程中記錄的“sigEncryptCode值。測試人員發(fā)現(xiàn)交易能夠成功完成。由以上事實，測試人員分析認(rèn)為存在兩種可能：第一種可能“sigEncryptCode信息應(yīng)為每次交易相關(guān)收款賬號、金額等加密信息，假設(shè)為此情況，在替換后并成功交易，測試用款應(yīng)該轉(zhuǎn)到第一次操作的xx賬號中，而目前事實是依然轉(zhuǎn)移到xx的賬號中。第二種可能是“sigEncryptCode信息不包含每次交易的收款賬號、金額等加密信息

23、，完全用于數(shù)字簽名。因此“sigEncryptCode值信息在最后確認(rèn)中，只要是正確途徑產(chǎn)生均可通過簽名，因此可以任意替換。命令執(zhí)行類在命令執(zhí)行類的測試中，測試人員主要測試了SQL注入攻擊。為了防止使用模糊測試給賬戶及XXX系統(tǒng)帶來不可預(yù)料的影響，測試人員采用手工測試的方法。測試人員對XX新XXX系統(tǒng)中的輸入?yún)?shù)進(jìn)行了局部測試，下面以測試登錄用戶名選項為例進(jìn)行說明。測試人員發(fā)現(xiàn)當(dāng)前XX新新XXX系統(tǒng)大局部輸入都只是客戶端驗證而非客戶端效勞端雙向驗證。威脅點測試人員通過本地瀏覽器截取的方式對“自定義登錄名稱進(jìn)行修改，成功將zhdh登錄名設(shè)置為下面三種情況：情況一：“zh|dh、“;-名稱：含有S

24、QL代碼的違規(guī)名稱；設(shè)置的“zh|dh登錄名稱設(shè)置的“;-登錄名稱情況二：“ 該處設(shè)置名稱為空字符。名稱：空字符的名稱字段長度少于要求的4字符；設(shè)置的空字符登錄名稱情況三：“abcdefghijklmnopqrstuvwxyzabcdefghijklmnopqrstuvwxyz名稱：52字符名稱長度大于要求的30字符。設(shè)置的52字符長登錄名稱經(jīng)上述測試，測試人員發(fā)現(xiàn)當(dāng)通過違法手段繞過客戶端限制成功修改登錄名稱后，在XXX系統(tǒng)登錄時由于使用不符合要求的登錄名稱將導(dǎo)致登錄認(rèn)證無法通過，造成系統(tǒng)的邏輯錯誤只能使用證件號方式登錄 由于登錄認(rèn)證采用雙向檢測因此效勞端不接受不符合條件的登錄名稱。當(dāng)設(shè)置登錄

25、名空字符時，登錄XXX系統(tǒng)要求輸入用戶名，致使無法登錄；當(dāng)設(shè)置超長登錄名字符時，登錄XXX系統(tǒng)提示用戶名不符合要求，致使無法登錄?？蛻舳斯纛悳y試人員在測試跨站腳本時，發(fā)現(xiàn)當(dāng)前XX新XXX系統(tǒng)對跨站檢測非常嚴(yán)格，導(dǎo)致在測試時測試賬號被列入黑名單，無法繼續(xù)測試。測試代碼如下：對跨站輸入進(jìn)行強(qiáng)制退出測試跨站代碼被列入黑名單信息泄露類測試人員在對網(wǎng)站其他周邊信息進(jìn)行檢查時發(fā)現(xiàn)，nbank.xx 存在明顯的web server默認(rèn)頁面，該處泄露了當(dāng)前效勞器web信息。如下：Web server默認(rèn)頁面發(fā)現(xiàn)問題與建議發(fā)現(xiàn)的問題在本次滲透測試的新XXX系統(tǒng)中，XX科技滲透測試小組發(fā)現(xiàn)了局部嚴(yán)重等級風(fēng)險漏洞

26、，這一級別的漏洞將深刻威脅到系統(tǒng)平安性。已發(fā)現(xiàn)的XX新XXX系統(tǒng)主要平安問題如下：XX新XXX系統(tǒng)發(fā)現(xiàn)的問題：編號發(fā)現(xiàn)問題漏洞描述威脅程度1登錄XXX系統(tǒng)USBKey認(rèn)證可繞過漏洞不使用USBKey可通過截取key信息進(jìn)行登錄嚴(yán)重2轉(zhuǎn)賬匯款USBKey認(rèn)證可繞過漏洞不使用USBKey可通過截取key信息進(jìn)行登錄嚴(yán)重3轉(zhuǎn)賬匯款數(shù)字簽名設(shè)計缺陷任意合法數(shù)字簽名信息均可完成匯款，數(shù)字簽名信息可任意替換。嚴(yán)重4輸入驗證機(jī)制設(shè)計缺陷僅由客戶端驗證用戶輸入導(dǎo)致易繞過造成SQL注入嚴(yán)重5缺少第二信道認(rèn)證僅依靠USBKey進(jìn)行身份識別沒有其他認(rèn)證手段中等6信息泄露xx.xx 存在默認(rèn)web server泄露信

27、息輕度平安建議針對上述發(fā)現(xiàn)的平安問題，XX科技建議立即采取措施進(jìn)行修補(bǔ)，以防止發(fā)生平安問題，下面的平安建議措施可供參考：編號發(fā)現(xiàn)問題平安建議備注1登錄XXX系統(tǒng)USBKey認(rèn)證可繞過漏洞更改當(dāng)前USBKey實現(xiàn)機(jī)制2轉(zhuǎn)賬匯款USBKey認(rèn)證可繞過漏洞更改當(dāng)前USBKey實現(xiàn)機(jī)制3轉(zhuǎn)賬匯款數(shù)字簽名設(shè)計缺陷在簽名信息中參加動態(tài)信息，例如短信驗證碼、隨機(jī)驗證碼、賬號、金額等信息。4輸入驗證機(jī)制設(shè)計缺陷采用客戶端效勞器端雙向驗證5缺少第二信道認(rèn)證增加第二信道認(rèn)證途徑，例如， 短信驗證碼6信息泄露刪除默認(rèn)web server頁面，屏蔽默認(rèn)web server版本信息其他建議針對WEB平臺的滲透測試及定期的評估掃描等方式，均以暴露問題為目標(biāo)，屬于被動的平安