程序聚合软件案例某灯饰企业网站渗透测试-某灯饰企业网站渗透测试

某灯饰企业网站渗透测试-某灯饰企业网站渗透测试

2025-06-07 00:20:20

行业：物联网、工业互联网

载体：网站、操作系统

技术：PHP、MySQL、Linux Driver、Windows Driver Kit

业务和功能介绍

随着线上业务的扩展，网站成为企业品牌形象和客户信任的重要载体，但也面临日益增长的网络安全威胁，例如数据泄露、钓鱼攻击等。为确保业务连续性和用户数据安全，某企业负责人委托本次渗透测试，以评估网站系统的安全性，识别潜在风险并制定改进措施。
用户可通过产品页面（product.php）浏览吊灯、壁灯等产品，支持按类别（cid参数）和分页（pageNum2参数）筛选商品，展示产品图片、价格和详情。
提供产品说明书或图片下载功能（download.php），用户可通过fileName参数下载指定文件，文件存储在服务器本地目录。
用户可通过表单提交咨询或订单请求，涉及用户邮箱、联系方式等敏感信息录入。
管理员可通过未公开的管理接口登录系统，管理商品信息、订单数据和用户账户。

项目实现

测试团队由刘建鑫、谢宇辉和单钰凯组成，投入约80小时，具体实施过程如下：
与客户确认测试范围明确禁止DoS攻击，确保业务不中断。
通过Nmap扫描目标IP识别开放端口（80、443、8123）；使用Burp Suite抓取流量，锁定高风险页面（download.php、product.php）。
优先锁定文件包含（LFI）、SQL注入和XSS攻击向量，制定攻击路径：LFI提取敏感文件 > SQL注入获取数据库 > XSS窃取会话。
利用LFI下载SSH公钥和配置文件，SQL盲注提取数据库名（wada2），XSS验证会话劫持可行性，未深入提权以控制影响。

示例图片视频

chuyujiuge

30天前活跃

方向：爬虫/脚本-爬虫/脚本、

交付率：100.00%

查看主页

相似推荐

智能门锁酒店管理系统

入住登记，发卡,卡的数量，读卡，退卡，卡挂失等功能。楼栋，楼层，套房，子房间管理。控制器，门锁管理，警报功能。预定房间管理，订单的更改，续住，退房。查询房间状态，入住率，能否入住（续住与预定的时间是否冲突）等信息

机动车驾驶培训计时系统

驾校资料信息的备案，驾校教练员，教练车，训练场的资料信息备案管理，学员信息备案管理，学时统计上传，学时查询，教练车的定位追踪，学时打卡设备的管理与车辆绑定解绑等功能。配合交通局实现学员托管名额控制和驾校车辆名额控制。协助交通局对驾校车辆和驾校学员的管理，可以配合交通局对驾校实行招生备案限制。

数据采集程序

采集施工设备施工数据，对数据进行过滤，标准化处理、整合，后发送到中心端消息服务器。程序可以采集文本文档，sqlserver,csv,access,sqllit,postgresql,mysql,串口等数据形式的数据，可以配置采集频率，保证消息实时性，将数据发送到中心端消息服务器后，后台数据同步程序负责将数据进行转发，保存到数据库等操作

WCS产品研发-WCS

1、立项背景和目标实现产品化WCS系统，搭建公司软件系统基础框架并实现可配置的WCS产品。 2、软件功能、核心功能模块的介绍 1) 多数据库支持实现，实现数据库自动创建、迁移，实现备份恢复功能，实现数据库间迁移； 2) 连接器：实现UDP、TCP、COM、S7、MELSEC、MODBUS、FETCH、CIP、MQ、API、WCF等主流连接方式； 3) 通讯器：实现通讯队列管理，实现协议适配器（负责协议转换），实现通讯； 4) 实现设备调度算法以及调度：基于CBS的调度算法、基于MAPF的调度算法、基于A*的调度算法、基于Dijkstra的设备调度算法 5) 实现基于Canvas的调度2d绘制显示、实现基于babylonjs的3D回绘制显示，实现任务管理、工作管理、请求管理、报文管理、设备故障统计、日志查询、路径管理页面以及后台支持； 3、业务流程、功能路径描述 1)配置化通讯 2)配置化项目场景 3)配置化调度策略

模拟后端数据的工具

在与关联系统一起开发时获取到跟源数据相似的假数据，拿着这些假数据，自己系统可以先开发，而不需要等待关联系统给了数据后再开发。目前支持http协议，sockt协议，https协议支持的通信状态：返回指定报文，直接转发，通信超时成功，通信超时失败