公安局发来网站漏洞文件,要求整改。

之前公司外包的一个小网站

大家看看这奇葩的文件,牛头不对马嘴,乱扯一通。

请大神们帮我想一想如何回复公安局。

公安局发来网站漏洞文件,要求整改。

公安局发来网站漏洞文件,要求整改。

以下是我的个人回复及疑问,请大家看看

1、浏览目录

目前没有发现此情况,目前的设置是拒绝访问目录的;且本网站下根本没有icons目录

2、ApacheHTTPSERVER 拒绝服务漏洞

不知道怎么回答啊

3、PHP imageRotate()未初始化内存信息泄露漏洞

且系统根本没有安装,不支持这个“imageRotate”

4、PHP QUERY_STRING参数安全漏洞

PHP版本:5.4,PHP厂商早已解决此问题

首页文件没有接收任何$_GET值

---------

但是我觉得直接这么回复不是很好,大家帮我想想?

回答

他们需要绩效的,随便发出来几封而已,你要热情的表达感谢,已经积极处理问题的心态,让他们绩效提上去~公安也累呀,居然还要管网站的漏洞,个人觉得直接跟360网站安全检测 http://webscan.360.cn/ 合作省事。目测就是这样,唉

很多网站所有者对网站的漏洞修复以及网站安全加固不会,如果对网站漏洞整改操作不会以及对整改报告和回执不会写的话可以向网站漏洞整改服务商寻求服务,像SINE安全,鹰盾安全,绿盟都是做漏洞修复整改的。

该评论暂时无法显示,详情咨询 QQ 群:912889742

回复
@开源中国首席段子手 : 任何时候,安全意识这根弦都不能松懈,江湖险恶。

该评论暂时无法显示,详情咨询 QQ 群:912889742

亲爱的 警察蜀黍 同志

非常感觉百忙之中帮我查出这些安全漏洞,经查实,这些漏洞都是临时工违规操作所引起。我们将认真吸取教训,辞退相关人员,坚决杜绝此类事件再次发生。

该评论暂时无法显示,详情咨询 QQ 群:912889742

有意思,不懂PHP,表示关注说不定还可以得一个网络安全小先锋的红旗让我回想起以前拿360网站漏洞检测扫自己网站,报一堆高危漏洞,过一段时间再扫,鬼都没有国内喜欢用恐吓式的,这个效果应该不错的我以前公司也搞过这个很明显,公安局用软件扫的, 误报率肯定高. 你只需要回复整改完成. 最好是针对所列的url单独做个处理就可以了.业绩。。。