360网站安全检测,我的服务器安全评级只有88分

昨天一个偶然的机会发现 360 网站安全检测提示我的网站有安全隐患,测试得分只有85分。好奇之下让它重新检测。这次检测花了5个多小时,报告三个高危级别的[警告]跨站脚本攻击漏洞(实际上是一个),综合得分88分。

不过它这个分数大概也就是象征性的吧。刚开始看到的评分是2011年12月17日测的,耗时3天2时48分14秒,得分85分。我还真不记得自己做个这个测试,一丁点儿印象都没有。不过当我尝试注册时候发现的确是注册过的,囧!

然后我重新测试,因为新的测试需要很长时间,我就到处翻翻。结果,发现之前那个测试结果页面变了,成了下面这个样子:

2011年测试结果与2013年测试结果混搭的报告页面

2011年测试结果与2013年测试结果混搭的报告页面

上图中的分数、安全级别和下面橘黄色的恭喜的话都是新的,剩下的内容才是我最开始看到的2011年那个测试结果 —— 遗憾一开始没截图,说不清楚了。更神奇的是,刚才再看的时候又变成了“2013-06-25 09:15:24 开始检测,耗时17秒……共检测193个页面,以下1个页面有问题……得分99”。就不截图了,没意义。

然后来看看昨天晚上大约7点半开始测试,花了5个多小时的测试结果吧:

2013年网站安全测试结果报告页面

2013年网站安全测试结果报告页面

可以看到这个测试报告中提到的漏洞有两类:跨站脚本攻击漏洞和TRACEMethod可被利用的风险。提示的3条跨站脚本攻击漏洞实际是一个,就是 WordPress 的评论提交脚本(wp-comments-post.php),因为我使用的是 WordPress 的多站点模式

不过对于这个 wp-comments-post.php 的跨站脚本漏洞我打算忽略。毕竟 WordPress 开发团队还是值得信任的,凭 WordPress 社区的实力,不可能连这么个非常明显的简单的脚本都处理不好吧?!在测试结果页面,360提供了一个针对此漏洞的演示方法,我试了,WordPress 提示“错误:请输入评论内容。”然后我利用 Chrome 的开发者功能检查并修改该测试表单,加入一个评论内容的参数。再试,结果测试的评论内容就被提交上去等待审核了。

值得一提的是测试过程中的资源消耗。别说测试时间长,我看到测试进度那个页面列出了几十个项目,每个项目里头有分几十甚至上千条条目。测试过程中对服务器资源的消耗也是非常大的,这还是选择了“消耗最小”模式来测试的呢。看看测试期间我的服务器上的 CPU 占用率和流量监控图吧,挺吓人的。

360网站安全测试过程中VPS的CPU占用率

360网站安全测试过程中VPS的CPU占用率

360网站安全测试过程中VPS的流量图

360网站安全测试过程中VPS的流量图

上面两个图都是按照5分钟取一次平均值描绘的。CPU占用最高时几乎是100%,而出站流量峰值达到了1.12Mb/s。

测试结果还是颇具参考意义吧,而且还提供了修复方法参考。虽然不能让站长防住黑客,却至少能避免不被江湖宵小暗算。©

本文发表于水景一页。永久链接:<http://cnzhx.net/blog/get-88-points-on-360webscan/>。转载请保留此信息及相应链接。

2 条关于 “360网站安全检测,我的服务器安全评级只有88分” 的评论

雁过留声,人过留名

您的电子邮箱地址不会被公开。 必填项已用 * 标注

特别提示:与当前文章主题无关的讨论相关但需要较多讨论求助信息请发布到水景一页讨论区的相应版块,谢谢您的理解与合作!请参考本站互助指南
您可以在评论中使用如下的 HTML 标记来辅助表达: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>