高考问答mg自由高达1.0:谁懂的看X-SCAN的扫描报告?
来源:百度文库 编辑:高考问答 时间:2024/05/03 06:56:33
我刚才用X-SCAN扫描了我的服务器,大家帮我看看有什么问题,如何解决 ?
*检测结果
存活主机 1
漏洞数量 0
警告数量 4
提示数量 15
1.警告:Microsoft SQL server has a function wherein remote users can
query the database server for the version that is being run.
The query takes place over the same UDP port which handles the
mapping of multiple SQL server instances on the same machine.
CAVEAT: It is important to note that, after Version 8.00.194, Microsoft
decided not to update this function. This means that the data
returned by the SQL ping is inaccurate for newer releases of SQL Server
Nessus sent an MS SQL 'ping' request. The results were :
ServerName ZR InstanceName MSSQLSERVER IsClustered No Version 8.00.194 tcp 1433 np \\ZR\pipe\sql\query
If you are not running multiple instances of Microsoft SQL Server
on the same machine, It is suggested you filter incoming traffic to this port
NESSUS_ID : 10674
你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。
支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。
攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
解决方案: 禁用这些方式。
如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
如果你使用的是Microsoft IIS, 使用URLScan工具禁用HTTP TRACE请求,或者只开放满足站点需求和策略的方式。
如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更高的版本, 在obj.conf文件的默认object section里添加下面的语句:
.org/vuls/id/867593
风险等级: 中
*检测结果
存活主机 1
漏洞数量 0
警告数量 4
提示数量 15
1.警告:Microsoft SQL server has a function wherein remote users can
query the database server for the version that is being run.
The query takes place over the same UDP port which handles the
mapping of multiple SQL server instances on the same machine.
CAVEAT: It is important to note that, after Version 8.00.194, Microsoft
decided not to update this function. This means that the data
returned by the SQL ping is inaccurate for newer releases of SQL Server
Nessus sent an MS SQL 'ping' request. The results were :
ServerName ZR InstanceName MSSQLSERVER IsClustered No Version 8.00.194 tcp 1433 np \\ZR\pipe\sql\query
If you are not running multiple instances of Microsoft SQL Server
on the same machine, It is suggested you filter incoming traffic to this port
NESSUS_ID : 10674
你的webserver支持TRACE 和/或 TRACK 方式。 TRACE和TRACK是用来调试web服务器连接的HTTP方式。
支持该方式的服务器存在跨站脚本漏洞,通常在描述各种浏览器缺陷的时候,把"Cross-Site-Tracing"简称为XST。
攻击者可以利用此漏洞欺骗合法用户并得到他们的私人信息。
解决方案: 禁用这些方式。
如果你使用的是Apache, 在各虚拟主机的配置文件里添加如下语句:
RewriteEngine on
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
如果你使用的是Microsoft IIS, 使用URLScan工具禁用HTTP TRACE请求,或者只开放满足站点需求和策略的方式。
如果你使用的是Sun ONE Web Server releases 6.0 SP2 或者更高的版本, 在obj.conf文件的默认object section里添加下面的语句:
.org/vuls/id/867593
风险等级: 中
只有一台主机上线。
这台主机有四个漏洞或安全设置问题。
危险等级不高,可能是只能用于本地提权之类的。
——反正如果它说的危险等级不是“高”的话,都表明是不能远程溢出入侵的,就放弃吧。~