secskill
Search…
1.web应用漏洞
本章主要记录一些web应用漏洞
常见攻击点:
  • 客户端确认————服务器没有使用确认检查
  • 数据库交互————SQL注入
  • 文件上传与下载————路径遍历漏洞、存储型xss、任意文件上传、下载漏洞
  • 显示用户提交的数据————xss
  • 动态重定向————重定向与消息头注入攻击
  • 社交网络功能————用户名枚举、存储型xss
  • 登录————用户名枚举、弱口令、可暴力破解
  • 多阶段登录————登录缺陷
  • 会话状态————可推测出的令牌、令牌处理不安全
  • 访问控制————水平、垂直越权
  • 使用明文通信————会话劫持、收集证书
  • 站外链接————referer消息头查询字符串参数泄露、ssrf
  • 错误信息————信息泄露
  • 电子邮件交互————电子邮件与命令注入
  • 使用第三方组件————已知漏洞
Copy link