远程主机上安装的 Tomcat 版本低于 7.0.12。因此，它受到 fixed_in_apache_tomcat_7.0.12_security-7 公告中提及的多个漏洞影响。

  - 在 7.0.x 至 7.0.12 版本的 Apache Tomcat 中，HTTP BIO 连接器未正确处理 HTTP 管道，导致远程攻击者可以通过检查 HTTP 数据包中的应用程序数据，在有机会的情况下读取原本用于其他客户端的响应，此问题与不同用户的请求发生响应混乱相关。(CVE-2011-1475)

  - 在 5.5.34 之前的 Apache Tomcat 5.5.x、6.0.33 之前的 Apache Tomcat 6.x 和 7.0.12 之前的 Apache Tomcat 7.x 中，HTTP Digest Access Authentication 实现未检查领域值，这可能允许远程攻击者通过利用具有较弱认证或授权要求的保护空间的可用性来绕过预期访问限制，此漏洞与 CVE-2011-1184 不同。
    (CVE-2011-5063)

  - 7.x 至 7.0.10 版本的 Apache Tomcat 未遵循 ServletSecurity 注释原则，导致远程攻击者可以通过向 Web 应用程序发出 HTTP 请求来绕过预期访问限制。(CVE-2011-1088)

请注意，Nessus 尚未测试这些问题，而是只依据应用程序自我报告的版本号进行判断。

Nessus 发现了一些在用户未登入的情况下无法联机的网页。这些网页将用来维护 Web 会话。

在远程主机上运行的 Oracle WebLogic Server 的版本存在会话固定漏洞。

远程攻击者可以利用此漏洞，方法是欺骗用户发出特别构建的 POST 请求。这导致攻击者可以劫持用户的会话。

远程 Web 服务器托管 Lotus Sametime，这是一款即时消息、计划以及网络会议应用程序。

远程主机上安装的 Tomcat 版本低于 7.0.11。因此，它受到 fixed_in_apache_tomcat_7.0.11_security-7 公告中提及的一个漏洞影响。

  - 7.x 至 7.0.10 版本的 Apache Tomcat 未遵循 ServletSecurity 注释原则，导致远程攻击者可以通过向 Web 应用程序发出 HTTP 请求来绕过预期访问限制。(CVE-2011-1088)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的似乎是 Fix Pack 15 之前的 IBM WebSphere Application Server 7.0 版。因此，有报告称它受到以下漏洞的影响：

- BBOOORBR 控制块中的双重释放错误可触发拒绝服务攻击。(PM17170)

- web 容器中存在跨站脚本漏洞。(PM18512)

- 通过认证的用户可能会使用针对认证的轻量级第三方认证 (LTPA) 令牌触发拒绝服务攻击。
 (PM18644)

- 跟踪文件中包含敏感的 wsadmin 命令参数，可导致信息泄露漏洞。(PM18736)

- “com.ibm.ws.jsp.runtime.WASJSPStrBufferImpl”中的内存泄漏可触发 DoS 情况。(PM19500)

- 由 WebSphere Web 服务运行时提供的 SAAJ API 可触发 DoS 情况。
 (PM19534)

- 服务集成总线 (SIB) 消息引擎受到拒绝服务问题的影响。(PM19834)

- 安装程序将使用开放的“777”权限创建临时日志文件目录。(PM20021)

- IVT 应用程序存在一个跨站脚本漏洞。(PM20393)

- 没有从缓存清除用户凭据，甚至在用户注销之后也没有清除。(PM21536)

- 没有正确处理跟踪请求，这可导致不明的问题。(PM22860)

-“org.apache.jasper.runtime.JspWriterImpl.response”的内存泄漏可触发拒绝服务情况。(PM23029)

- 在特定情况下，SIP 代理可能停止处理 UDP 消息，从而导致 DoS 情况。(PM23115)

- 消息引擎中的内存泄漏可触发拒绝服务攻击。(PM23626)

- 允许对某些控制 servlet 进行不当访问。
 (PM24372)

- AuthCache 清除实现不能清除 AuthCache 中的用户。(PM24668)

- 使用 J2EE 1.4 应用程序时，可能会发生不正确的安全角色映射。(PM25455)

- 管理员角色成员可通过管理控制台修改主管理 id。(PK88606)

远程主机正在运行 Veritas 群集管理控制台。

因为重载此 Web 服务会强制实施群集交换，所以会在此端口上禁用 Web 测试。

远程主机上安装的 Tomcat 版本低于 7.0.8。因此，它受到 fixed_in_apache_tomcat_7.0.8_security-7 公告中提及的一个漏洞影响。

  - 7.0.0 至 7.0.6 和 6.0.0 至 6.0.30 版本的 Apache Tomcat 不会强制对涉及 NIO HTTP 连接器的请求施加 maxHttpHeaderSize 限制，导致远程攻击者可以通过构建的请求造成拒绝服务 (OutOfMemoryError)。(CVE-2011-0534)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Tomcat 版本低于 7.0.6。因此，它受到 fixed_in_apache_tomcat_7.0.6_security-7 公告中提及的一个漏洞影响。

  - 对于 Apache Tomcat，5.5.32 之前的 5.5、6.0.30 之前的 6.0 和 7.0.6 之前的 7.0 版本中的 HTML 管理接口存在多种跨站脚本 (XSS) 漏洞，可允许远程攻击者注入任意 Web 脚本或 HTML，display-name 标签即为一例。(CVE-2011-0013)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，在远程主机上监听的 Apache Tomcat 6.0.x 实例版本低于 6.0.30。因此，它受到多种漏洞的影响：

-“ServletContext”属性包含 Tomcat 的 SecurityManager 中的工作目录的位置，该属性的访问限制中存在错误。恶意 Web 应用程序可以修改工作目录的位置，然后对 Tomcat 的上下文中的任意文件和目录进行恶意的读取和写入。
 (CVE-2010-3718)

- 管理器应用程序中存在输入验证错误，导致其无法过滤“sort”和“orderBy”输入参数。(CVE-2010-4172)

- HTML 管理器应用程序中存在输入验证错误，导致其无法在将各种输入数据返回到浏览器之前对这些数据进行过滤。(CVE-2011-0013)

请注意，Nessus 并未测试这些问题，而是只依赖于应用程序自我报告的版本号。

远程主机上安装的 Tomcat 版本低于 7.0.4。因此，它受到 fixed_in_apache_tomcat_7.0.4_security-7 公告中提及的一个漏洞影响。

  - 在 SecurityManager 内运行时，Apache Tomcat 7.0.0 至 7.0.3、6.0.x 和 5.5.x 未将 ServletContext 属性设置为只读，从而允许本地 Web 应用程序读取或写入预期工作目录外的文件，目录遍历攻击即为一例。(CVE-2010-3718)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

根据其自我报告的版本号，在远程主机上监听的 Apache Tomcat 5.5.x 实例版本低于 5.5.32。因此，它受到 HTML 管理器界面中的一个跨站脚本漏洞的影响。

Tomcat 的 HTML 管理器界面中存在输入验证错误，可能导致远程攻击者通过构建的 URL 向用户的浏览器注入代码。

请注意，Nessus 没有测试此问题，而仅依赖于应用程序自我报告的版本号。

远程主机上安装的 OpenSSL 版本低于 1.0.0d。因此，该应用程序受到 1.0.0d 公告中提及的一个漏洞影响。

  - OpenSSL 0.9.8h 到 0.9.8q 和 1.0.0 到 1.0.0c 中的 ssl/t1_lib.c 允许远程攻击者通过触发越界内存访问的格式错误 ClientHello 握手消息造成拒绝服务（崩溃），并可能获取使用 OpenSSL 的应用程序中的敏感信息，也称为 OCSP 装订漏洞。(CVE-2011-0014)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上安装的 Tomcat 版本低于 7.0.5。因此，它受到 fixed_in_apache_tomcat_7.0.5_security-7 公告中提及的一个漏洞影响。

  - Apache Tomcat 6.0.12 至 6.0.29 和 7.0.0 至 7.0.4 中的 Manager 应用程序存在多种跨站脚本 (XSS) 漏洞，允许远程攻击者通过 (1) orderBy 或 (2) sort 参数将任意 Web 脚本或 HTML 注入到 sessionsList.jsp，或将未指定的输入注入到 (3) sessionDetail.jsp 或 (4) java/org/apache/catalina/manager /JspHelper.java，与不受信任的 Web 应用程序的使用相关。
    (CVE-2010-4172)

请注意，Nessus 尚未测试此问题，而是只依据应用程序自我报告的版本号进行判断。

远程主机上运行的似乎是 Fix Pack 35 之前的 IBM WebSphere Application Server 6.1。因此，有报告称它受到多种漏洞的影响：

  - 管理控制台中存在一个不明的跨站脚本漏洞。(PM14251)

  - BBOOORBR 控制块中存在双重释放错误，可触发拒绝服务情况。(PM17170)

  - Web 容器中存在不明的跨站脚本漏洞。(PM18512)

  - 通过认证的用户可能会使用针对认证的轻量级第三方认证 (LTPA) 令牌触发拒绝服务攻击。
    (PM18644)

  - 跟踪文件中包含敏感的 wsadmin 命令参数，可导致信息泄露漏洞。(PM18736)

  - 管理控制台中存在不明的跨站请求伪造漏洞。(PM18909)

  - 没有从缓存清除用户凭据，甚至在用户注销之后也没有清除。(PM21536)

  - 不明漏洞可导致对控制台 servlet 进行不当访问。(PM24372)

根据其自我报告的版本，远程主机上运行的 Oracle iPlanet Web Server（前身为 Sun Java System Web Server）为低于 7.0.9 的 7.0.x。因此，该服务器受到多个漏洞的影响：

  - WebDAV 组件中存在不明的文件泄露漏洞。(CVE-2010-3512)

  - Web 容器组件中存在 HTTP 响应拆分漏洞，这是未能审查 CR / LF 字符的 HTTP 响应头所致。(CVE-2010-3514)

  - 管理控制台中存在跨站请求伪造漏洞，攻击者可利用此漏洞，停止任意服务器实例。(CVE-2010-3544)

  - 管理组件中存在一个不明缺陷，允许远程攻击者通过不明矢量影响机密性及完整性。
    (CVE-2010-3545)

远程 Web 服务器托管一个 webmail 应用程序 IceWarp。

远程 Web 服务器包含受到 HTTPS 上的“基本”身份验证保护的网页。 

虽然“基本”身份验证本身并不存在安全漏洞，但是
某些公司并不鼓励使用此验证，因为取决于底层实现，
使用此验证可能导致公司容易遭受帐户暴力攻击或
中间人 (MiTM) 攻击。

根据其自我报告的版本号，在远程主机上运行的 Apache Tomcat 实例为等于或低于 5.0.30 的 5.0.x 或者低于 5.5.25 的 5.5.x。因此，该服务器受到多个漏洞的影响：

  - 多个 JSP 示例文件中存在错误，允许通过使用“;”字符的 URL 来进行脚本注入。
    (CVE-2007-2449)

  - 管理器和主机管理器应用程序未正确审查“/manager/html/upload”脚本的“filename”参数，可导致跨站脚本攻击。(CVE-2007-2450)

  - 对包含被 Tomcat 视为分隔符的单引号的 cookie 值的处理方法中存在错误。此问题可导致泄露会话 ID 等敏感信息。(CVE-2007-3382)

  - 对包含被 Tomcat 视为分隔符的反斜线的 cookie 值的处理方法中存在错误。此问题可导致泄露会话 ID 等敏感信息。(CVE-2007-3385)

  - 主机管理器应用程序中存在一个错误，可导致脚本注入。(CVE-2007-3386)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号。

根据其标题，远程 Web 服务器运行的 OpenSSL 版本低于 0.9.8q 或 1.0.0c。此类版本可能受到多种漏洞的影响：- 可通过修改存储的会话缓存加密套件来将加密套件降级至较弱版本。- J-PAKE 实现中存在一个错误，可导致不知道共享密码的人获得成功验证。

远程 Web 服务器是 Novell GroupWise WebAccess 控制台。通过允许未经认证访问此 Web 服务器，任何人都可读取与 GroupWise WebAccess 相关的状态、配置或日志文件。

远程 Web 服务器是 Novell GroupWise Internet Agent Web 控制台。通过允许对此 Web 服务器进行未经认证的访问，任何人都可读取与 GroupWise Internet Agent 相关的状态、配置或日志文件，甚至重新启动代理。

远程 Web 服务器是 Novell GroupWise Document Viewer Agent (DVA) 的 Web 控制台。此代理允许未经认证的访问，造成任何人都可读取与 DVA 相关的状态、配置或日志文件。

远程主机上监听的 Apache Tomcat 实例受到一个信息泄露漏洞的影响。攻击者能够通过请求多个示例文件的其中一个来确定 Tomcat 应用程序的 Web 根目录路径。

远程主机上运行的似乎是 Fix Pack 13 之前的 IBM WebSphere Application Server 7.0。因此，有报告称它受到以下漏洞的影响：

  - 管理控制台中存在跨站脚本漏洞，这是未正确过滤输入值所致。(PM14251)

  - 集成解决方案控制台中存在跨站脚本漏洞，这是未正确过滤输入值所致。(PM11777)

  - WebSphere Application Server 的管理控制台中存在不明的跨站请求伪造漏洞。(PM18909)

  - z/OS 的 WebSphere Application Server 的管理控制台中存在不明的跨站脚本漏洞。(PM17046)

  - JAX-WS WS-Security 中存在错误，会错误地处理 WS-SecurityPolicy 规范中的时间戳。
    (PM16014)

  - JAX-WS API 中存在错误，使攻击者可以通过发送特别构建的 JAX-WS 请求来造成拒绝服务。服务器会开始向其客户端发送损坏的数据。(PM13777)

  - WebSphere 使用的 Apache Axis2/Java 容易受到拒绝服务和信息泄露攻击的影响，这是其 XML DTD 处理进程中存在错误所致。(PM14844)

  - 管理控制台中存在不明错误，可以在请求特别构建的 URL 时导致高 CPU 使用率和拒绝服务。
    (PM11807)

根据其自我报告的版本号，远程主机上监听的 Apache Tomcat 3.x 实例低于 3.3.2，因此会受到多个漏洞影响。

此版本的 Tomcat 随附的“ROOT”和示例应用程序中存在不明的跨站脚本漏洞。

请注意，Nessus 尚未测试此问题，而是只依靠应用程序自我报告的版本号来判断。

根据其自我报告的版本号，在远程主机上监听的 Apache Tomcat 4.x 实例版本低于 4.1.0。因此，该服务器受到多个漏洞的影响：

  - 对格式错误的数据包的处理方法中存在错误，可以导致处理线程处于没有响应的状态。一系列此类请求可导致所有线程都失去响应。(CVE-2003-0866)

  - 两个示例 servlet，即“snoop”和故障排除 servlet，会泄露 Apache Tomcat 安装路径。。
    (CVE-2002-2006)

  - 同样已报告此版本的 Tomcat 受到跨站脚本漏洞的影响。
    如果没有对请求 URL 的内容进行足够的清除就将其返回浏览器，则会导致错误。

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号。

远程主机上监听的 Apache Tomcat 3.x 实例受到一个跨站脚本漏洞的影响。攻击者能够将 JavaScript 嵌入对 JSP 文件的请求中，进而造成错误情况。此请求未经过审查即显示在应用程序错误页面上。

IBM Remote Supervisor Adapter 配置为使用默认凭据来控制访问。了解这些信息后，攻击者可获得机器的完整控制权。

远程 Apache Tomcat 服务器受到一个信息泄露漏洞影响，其允许将 JSP 源代码作为响应，传送至非以 HTTP 协议规格结尾的 HTTP 请求。此安装也可能受到一个跨站脚本漏洞和另一个信息泄露漏洞影响，但是 Nessus 尚未针对这些问题进行明确测试。

根据其标题，远程主机上运行的 Apache 2.2.x 版本低于 2.2.17。因此，该应用程序受到以下漏洞的影响：

  - 捆绑的 expat 库中存在多个错误，攻击者可利用此漏洞，在解析 XML 文档时造成缓冲区过度读取，从而造成服务器崩溃。（CVE-2009-3720 和 CVE-2009-3560）

  - 捆绑的 APR-util 库的“apr_brigade_split_line”函数中存在错误。请求中精心安排的字节导致内存消耗不断增加，进而造成拒绝服务。(CVE-2010-1623)请注意，远程 Web 服务器实际上不受这些漏洞的影响。Nessus 没有尝试确定是否正在使用受影响的模块，也没有自行检查问题。

根据其标题，远程主机上运行的 Apache 2.0.x 版本低于 2.0.64。因此，该应用程序受到以下漏洞的影响：

  - 处理不包含路径段的请求时存在不明错误。(CVE-2010-1452)

  - 多个模块（包括“mod_deflate”）容易受到拒绝服务攻击的影响，因为攻击者可以强制服务器在客户端断开连接之后使用 CPU 时间压缩大型文件。(CVE-2009-1891)

  -“mod_proxy”中存在不明错误，此问题与过滤身份验证凭据有关。(CVE-2009-3095)  
  - 在某些错误处理路径中，“mod_proxy_ftp”中存在空指针取消引用问题。
    (CVE-2009-3094)

  -“mod_ssl”中存在一个错误，导致服务器容易受到 TLC 重新协商前缀注入攻击的影响。(CVE-2009-3555)

  - 对子请求的处理方法中存在错误，可导致父请求标题遭到损坏。
    (CVE-2010-0434)

  - 处理过多的临时响应时，“mod_proxy_http”中存在一个错误，导致其容易受到拒绝服务攻击的影响。(CVE-2008-2364)

  -“mod_isapi”中存在一个错误，导致过早卸载模块，从而导致回调指针孤立。(CVE-2010-0425)

  - 在 FTP URL 中使用通配符时，“mod_proxy_ftp”中存在一个错误，可导致跨站脚本攻击。(CVE-2008-2939)

请注意远程 Web 服务器实际上可能不会受到这些漏洞的影响。Nessus 没有尝试确定是否正在使用受影响的模块，也没有自行检查问题。

根据其标题，远程主机上运行的 Apache 2.2.x 版本低于 2.2.15。因此，它可能受到多种漏洞的影响：

  - 可能存在 TLS 重新协商前缀注入攻击。(CVE-2009-3555)

  -“mod_proxy_ajp”模块会在遇到错误时返回错误的状态代码，从而导致后端服务器被注入错误状态。(CVE-2010-0408)

  -“mod_isapi”模块会在遇到各种错误状态时尝试卸载“ISAPI.dll”，从而导致回调处于未定义状态。(CVE-2010-0425)

  - 核心子请求进程代码中存在一个缺陷，如果使用多线程环境，此缺陷可导致请求中的敏感信息由错误线程来处理。(CVE-2010-0434)

  - 已添加“mod_reqtimeout”模块以缓解 Slowloris 攻击。(CVE-2007-6750)

远程主机运行的 Apache 2.x 版本似乎低于 2.0.47。因此，该服务器受到多个漏洞的影响：

  - 使用 SSLCipherSuite 指令升级密码组时可能出现问题，导致使用较弱的密码组，而不是升级的密码组。(CVE-2003-0192)

  - 与使用 IPV6 地址相关的 FTP 代理组件中可能存在拒绝服务漏洞。
    (CVE-2003-0253)

  - 攻击者可以构建类型映射文件，可导致服务器进入无限循环。
    (CVE-2003-0254)

Nessus 通过对远程 Web 服务器进行爬网操作来收集 HREF mailto: 链接，并且提取电子邮件地址。

Nessus 通过对远程 Web 服务器进行爬网操作来收集
指向外部站点的 HREF 链接。

根据其自我报告的版本号，在远程主机上监听的 Apache Tomcat 4.x 实例版本低于 4.1.3。因此，该主机受到拒绝服务漏洞的影响。

恶意 HTTP 请求可以导致请求处理线程处于没有响应的状态。进一步发出此类型的请求可以导致所有请求处理线程都处于没有响应的状态。

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号。

远程 Apache Tomcat Web 服务器受到信息泄露漏洞的影响。可通过发送包含长 URL 的 HTTP 请求来获取完整的 Apache Tomcat 安装路径。

请注意，据报告此 Apache Tomcat 版本还存在其他安装路径泄露漏洞，但是 Nessus 并未公开测试该漏洞。

远程主机上运行的似乎是 Fix Pack 33 之前的 IBM WebSphere Application Server 6.1。因此，有报告称它受到多种漏洞的影响：

  - 管理控制台中存在一个不明的跨站脚本漏洞。（PM09250、PM11778）

  - 含有 WS-Security 策略的 Java API for XML Web Services (JAX-WS) 应用程序指定时间戳值时，存在一个不明的错误。(PM16014 / PM08360)

  - 敏感信息由“<WAS_HOME>/logs/managedprofiles/*_create.log”文件中的“ceiDbPasswordDefaulter”存储。
    (PM12065)

  - 如果启用安全跟踪，则可能在 LoginContext 中调用注销时引发 NullPointerException。(PM02636)

远程主机上运行的似乎是用于 6.0.2 的 Fix Pack 43 之前的 IBM WebSphere Application Server 6.0。有报告称会受到多种漏洞的影响：- Web 容器不会正确处理长文件名，可能造成其响应错误文件，从而导致潜在敏感信息泄露。(PM06111) - Web 容器通过 Transfer-Encoding chunked 调用 response.sendRedirect 时发生一个错误，可造成拒绝服务。(PM08760) - 通过 SSL 进行大于 2 GB 的上传期间，Web 服务器可能发生故障。(PM10270) - 管理控制台中存在一个不明的 XSS。(PM09250)

根据其自我报告的版本号，远程主机上安装的 HP System Management Homepage 低于 6.2。
已报告这些版本会受到以下漏洞的影响：

  - 未正确处理会话重新协商，攻击者可利用此漏洞，通过中间人攻击插入任意明文。(CVE-2009-3555)

  - 即使目标脚本本身实际不支持文件上传，攻击者也可使用包含“multipart/form-data”内容的 POST 请求上传文件。(CVE-2009-4017)

  - PHP 的“proc_open”函数可能被滥用，导致绕过“safe_mode_allowed_env_vars”和“safe_mode_protected_env_vars”指令。
    (CVE-2009-4018)

  - PHP 未正确保护会话数据，此问题与“$_SESSION”和“session.save_path”指令的中断损坏有关。(CVE-2009-4143)

  - 应用程序允许任意 URL 重定向。
    （CVE-2010-1586 和 CVE-2010-3283）

  - Apache 的 mod_proxy_ajp、mod_reqtimeout 和 mod_proxy_http 中存在一个与超时情况有关的信息泄露漏洞。请注意，该问题仅影响 Windows 中的 SMH。
    (CVE-2010-2068)

  - 存在目前不明的信息泄露漏洞，经授权的用户可利用此漏洞，获取敏感信息的访问权限，进而利用相关信息获取 SMH 的 Linux 安装程序的根访问权限。(CVE-2010-3009)

  - 存在目前不明的 HTTP 响应拆分问题。(CVE-2010-3011)

  - 存在目前不明的跨站脚本问题。(CVE-2010-3012)

  - 存在目前不明的漏洞，可导致远程泄露敏感信息。
    (CVE-2010-3284)

远程 Web 应用程序使用 cookie 来跟踪经认证的用户。但也有应用程序在未加密的 HTTP 上运行或者 Cookie 未标记“安全”的实例，这意味着浏览器在某些情况下可通过未加密的链路将它们传回。因此，远程攻击者可能会拦截这些 Cookie。

可以从远程 Web 服务器下载文件“devinfo.xml”。此文件预期是由设置实用工具所读取。其中包含设备描述、安装说明，有时还会有 Internet 订阅的凭据。

远程 Web 服务器是 Splunk 管理 API 的实例。
Splunk 是一款适用于系统管理员的搜索、监控和报告工具。

远程 Web 应用程序使用 cookie 来跟踪经认证的用户。然而，这些 cookie 中有一个或多个未被标注为“HttpOnly”，这表示如 JavaScript 的恶意客户端脚本可读取。“HttpOnly”是用于防御跨站脚本攻击的安全机制，由 Microsoft 提出，最初在 Internet Explorer 中实施。所有新浏览器都支持该标记。请注意：- 在某些情况下可避开“HttpOnly”。- 缺少此属性并不表示 Web 应用程序会自动遭受跨站脚本攻击。- 有些 Web 应用程序需要通过客户端脚本操纵会话 Cookie，且无法设置“HttpOnly”属性。

远程主机上正在运行 Tivoli Management Framework 的组件 Tivoli Endpoint。远程 Web 应用程序显示了此主机的 Tivoli Endpoint 的状态。

根据其自我报告的版本号，在远程主机上监听的 Apache Tomcat 6.0 实例版本低于 6.0.28。因此，该应用程序受到多个漏洞的影响：

  - 如果 Web 应用配置为使用 BASIC 或摘要式认证，而且没有在 Web 应用的“web.xml”文件中配置“realm-name”属性，则回复中会包括远程服务器的主机名或 IP。
    (CVE-2010-1157)

  - 处理请求的“Transfer-Encoding”标题中的无效值时存在错误。攻击者可利用此问题，造成拒绝服务情况或泄露敏感信息。 (CVE-2010-2227)

请注意，Nessus 尚未测试这些问题，而是只依靠应用程序自我报告的版本号。

将空字节与 '.txt' 附加至请求 URL 时，远程主机上 LiteSpeed Web 服务器软件的安装版本会返回其上托管的脚本的来源。远程攻击者有可能利用此问题来查看 Web 服务器的源代码上的文件，且可能从此主机取得密码及其他敏感信息。

Nessus 可确定远程 Web 服务器上可用的 PHP 版本。

根据其标题，远程主机上运行的 Apache 2.2.x 版本低于 2.2.16。因此，它可能受到多种漏洞的影响：

  - mod_cache 和 mod_dav 中存在拒绝服务漏洞。 (CVE-2010-1452)   
  - mod_proxy_ajp、mod_reqtimeout 和 mod_proxy_http 中存在信息泄露漏洞，此问题与超时情况有关。请注意，此问题仅影响 Windows、Netware 和 OS/2 中的 Apache。(CVE-2010-2068)

请注意远程 Web 服务器实际上可能不会受到这些漏洞的影响。Nessus 没有尝试确定是否正在使用受影响的模块，也没有自行检查问题。

ID	名称	严重性
53323	Apache Tomcat 7.0.0 < 7.0.12 多个漏洞	medium
52973	受限制的网页检测	info
52756	Oracle WebLogic Server Servlet 容器会话固定	medium
52658	Lotus Sametime 检测	info
52634	Apache Tomcat 7.0.0 < 7.0.11	medium
52615	IBM WebSphere Application Server 7.0 < Fix Pack 15 多种漏洞	high
52504	Veritas 群集管理控制台检测	info
51987	Apache Tomcat 7.0.0 < 7.0.8	medium
51976	Apache Tomcat 7.0.0 < 7.0.6	medium
51975	Apache Tomcat 6.0.x < 6.0.30 多种漏洞	medium
51958	Apache Tomcat 7.0.0 < 7.0.4	low
51957	Apache Tomcat 5.5.x < 5.5.32 HTML 管理器界面 XSS	medium
51919	OpenSSL 1.0.0 < 1.0.0d 漏洞	critical
51526	Apache Tomcat 7.0.0 < 7.0.5	medium
51510	IBM WebSphere Application Server 6.1 < 6.1.0.35 多种漏洞	medium
51138	Oracle iPlanet Web Server 7.0.x < 7.0.9 多种漏洞	medium
51097	IceWarp Webmail 检测	info
51080	Web 服务器使用通过 HTTPS 实现的基本身份验证	info
51059	Apache Tomcat 5.0.x <= 5.0.30 / 5.5.x < 5.5.25 多种漏洞	medium
51058	OpenSSL < 0.9.8q / 1.0.0c 多种漏洞	critical
50693	Novell GroupWise WebAccess 可访问	medium
50691	Novell GroupWise Internet Agent 可访问	medium
50689	Novell GroupWise Document Viewer Agent Web 控制台可访问	medium
50688	Apache Tomcat 示例 Web 根目录路径泄露	medium
50561	IBM WebSphere Application Server 7.0 < Fix Pack 13 多个漏洞	high
50526	Apache Tomcat 3.x < 3.3.2 多种漏洞	medium
50475	Apache Tomcat 4.x < 4.1.0 多种漏洞	medium
50448	Apache Tomcat 3.x < 3.2.2 JSP 错误情况 XSS	medium
50348	IBM RSA 默认凭据	critical
50347	Apache Tomcat 3.x < 3.2.2 畸形的 URL JSP 来源泄露	medium
50070	Apache 2.2.x < 2.2.17 多个漏洞	medium
50069	Apache 2.0.x < 2.0.64 多个漏洞	high
45004	Apache 2.2.x < 2.2.15 多个漏洞	critical
11788	Apache 2.0.x < 2.0.47 多个漏洞（DoS、加密）	medium
49705	Web 服务器收集电子邮件地址	info
49704	外部 URL	info
49702	Apache Tomcat 4.x < 4.1.3 拒绝服务	medium
49701	Apache Tomcat 长 URL 信息泄露	medium
49691	IBM WebSphere Application Server 6.1 < 6.1.0.33 多种漏洞	critical
49690	IBM WebSphere Application Server 6.0 < 6.0.2.43 多种漏洞	medium
49272	HP System Management Homepage < 6.2 多种漏洞	high
49218	Web 应用程序会话 Cookie 未标记安全	medium
49110	设备信息 (devinfo.xml)	info
49069	Splunk 管理 API 检测	info
48432	Web 应用程序会话 Cookie 未标记 HttpOnly	medium
48363	IBM Tivoli Management Framework Endpoint Web 检测	info
48255	Apache Tomcat 6.0 < 6.0.28 多种漏洞	medium
48246	LiteSpeed Web 服务器源代码信息泄露	medium
48243	PHP 版本检测	info
48205	Apache 2.2.x < 2.2.16 多个漏洞	medium

检测

Nessus 的 Web Servers 系列

medium

info

medium

info

medium

high

info

medium

medium

medium

low

medium

critical

medium

medium

medium

info

info

medium

critical

medium

medium

medium

medium

high

medium

medium

medium

critical

medium

medium

high

critical

medium

info

info

medium

medium

critical

medium

high

medium

info

info

medium

info

medium

medium

info

medium