昨天一个偶然的机会发现 360 网站安全检测提示我的网站有安全隐患,测试得分只有85分。好奇之下让它重新检测。这次检测花了5个多小时,报告三个高危级别的[警告]跨站脚本攻击漏洞(实际上是一个),综合得分88分。
不过它这个分数大概也就是象征性的吧。刚开始看到的评分是2011年12月17日测的,耗时3天2时48分14秒,得分85分。我还真不记得自己做个这个测试,一丁点儿印象都没有。不过当我尝试注册时候发现的确是注册过的,囧!
然后我重新测试,因为新的测试需要很长时间,我就到处翻翻。结果,发现之前那个测试结果页面变了,成了下面这个样子:
上图中的分数、安全级别和下面橘黄色的恭喜的话都是新的,剩下的内容才是我最开始看到的2011年那个测试结果 —— 遗憾一开始没截图,说不清楚了。更神奇的是,刚才再看的时候又变成了“2013-06-25 09:15:24 开始检测,耗时17秒……共检测193个页面,以下1个页面有问题……得分99”。就不截图了,没意义。
然后来看看昨天晚上大约7点半开始测试,花了5个多小时的测试结果吧:
可以看到这个测试报告中提到的漏洞有两类:跨站脚本攻击漏洞和TRACEMethod可被利用的风险。提示的3条跨站脚本攻击漏洞实际是一个,就是 WordPress 的评论提交脚本(wp-comments-post.php),因为我使用的是 WordPress 的多站点模式。
不过对于这个 wp-comments-post.php 的跨站脚本漏洞我打算忽略。毕竟 WordPress 开发团队还是值得信任的,凭 WordPress 社区的实力,不可能连这么个非常明显的简单的脚本都处理不好吧?!在测试结果页面,360提供了一个针对此漏洞的演示方法,我试了,WordPress 提示“错误:请输入评论内容。”然后我利用 Chrome 的开发者功能检查并修改该测试表单,加入一个评论内容的参数。再试,结果测试的评论内容就被提交上去等待审核了。
值得一提的是测试过程中的资源消耗。别说测试时间长,我看到测试进度那个页面列出了几十个项目,每个项目里头有分几十甚至上千条条目。测试过程中对服务器资源的消耗也是非常大的,这还是选择了“消耗最小”模式来测试的呢。看看测试期间我的服务器上的 CPU 占用率和流量监控图吧,挺吓人的。
上面两个图都是按照5分钟取一次平均值描绘的。CPU占用最高时几乎是100%,而出站流量峰值达到了1.12Mb/s。
测试结果还是颇具参考意义吧,而且还提供了修复方法参考。虽然不能让站长防住黑客,却至少能避免不被江湖宵小暗算。©
本文发表于水景一页。永久链接:<http://cnzhx.net/blog/get-88-points-on-360webscan/>。转载请保留此信息及相应链接。
我也用这个,效果还是不错的,感觉和很多安全公司付费的扫描没啥区别。
是啊,只是没想到扫描一次要花那么长时间。很深度。