常规漏洞

2022/3/19 6:28:37

本文主要是介绍常规漏洞,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!

注入漏洞:

HTML注入-反射性(GET)(POST)(Current URL)
HTML注入-存储型
iFrame注入
LDAP注入(Search)
邮件Header注入
PHP代码注入
SQL注入(POST/搜索型)(POST/Select)
SQL注入(AJAX/JSON/jQuery)
SQL注入(Login form/Hero)(Login form/User)
SQL注入(SQLite)(Drupal)
SQL注入-存储型(Blog)(SQLite)(User-Agent)
SQL注入-盲注(Boolean-Based)(Time-Based)(SQLite)
XML/XPath注入(Login Form)(Search)


 跨站XSS漏洞:

跨站(XSS)-反射型(GET)
跨站(XSS)-反射型(POST)
跨站(XSS)-反射型(JSON)
跨站(XSS)-反射型(AJAX/JSON)
跨站(XSS)-反射型(AJAX/XML)
跨站(XSS)-反射型(Back Button)
跨站(XSS)-反射型(Login Form)
跨站(XSS)-反射型(PHP_SELF)
跨站(XSS)-反射型(User-Agent)
跨站(XSS)-反射型(Referer)
跨站(XSS)-存储型(Blog)
跨站(XSS)-存储型(Change Secret)
跨站(XSS)-存储型(Cookies)
跨站(XSS)-存储型(SQLiteManager)
跨站(XSS)-存储型(User-Agent)


 安全配置错误:

Arbitrary File Access (Samba)
Cross-Domain Policy File (Flash)

Cross-Origin Resource Sharing(AJAX)Cross-Site Tracing (XST)拒绝服务攻击 (Large Chunk Size)                                

拒绝服务攻击 (Slow HTTP DoS)                      

拒绝服务攻击 (SSL-Exhaustion)拒绝服务攻击 (XML Bomb)                            

错误的安全配置:FTP错误的安全配置:SNMP错误的安全配置:WebDAV                                    

本地权限提升 (sendpage)

本地权限提升 (udev)

中间人攻击 (HTTP)

中间人攻击 (SMTP)

各种文件泄露Robots 文件


 登录认证缺陷:

登录认证缺陷- 验证码绕过
登录认证缺陷- 找回密码功能
登录认证缺陷- 登录框漏洞
登录认证缺陷- 登出管理
登录认证缺陷- 密码爆破
登录认证缺陷- 弱口令
会话管理 - 管理后台
会话管理 - Cookies (HTTPOnly)
会话管理 - Cookies (Secure)
会话管理 - URL中泄露Session ID
会话管理 - 强会话


 Insecure Direct Object References

不安全的直接对象引用 (修改密码)
不安全的直接对象引用 (密码重置)
不安全的直接对象引用 (订票的例子)


 敏感信息泄露:

Base64编码
BEAST/CRIME/BREACH Attacks
HTTP明文传输用户名和密码
心脏滴血漏洞
Host Header 攻击(Reset 投毒)
HTML5 Web Storage (Secret)
POODLE Vulnerability
SSL 2.0 Deprecated Protocol
文本文件(账号)


 权限控制不严格:

目录遍历 - Directories
目录遍历 - Files
Host Header 攻击 (缓存投毒)
Host Header 攻击(Reset 投毒)
本地文件包含 (SQLiteManager)
Remote & 本地文件包含 (RFI/LFI)
限制访问终端设备
限制文件夹访问
Server Side Request Forgery (SSRF)
XML 外部实体攻击 (XXE)


 跨站请求伪造 (CSRF):

Cross-Site Request Forgery (修改密码)
Cross-Site Request Forgery (Change Secret)
Cross-Site Request Forgery (Transfer Amount)


 使用了存在漏洞的组件:

缓冲区溢出(本地)
缓冲区溢出(远程)
Drupal SQL 注入 (Drupageddon)
心脏滴血漏洞
PHP CGI 远程代码执行
PHP Eval 函数
phpMyAdmin BBCode 标签 XSS
破壳漏洞 (CGI)
SQLiteManager 本地文件包含
SQLiteManager PHP 代码注入
SQLiteManager XSS


 其他类型漏洞:

点击劫持 (Movie Tickets)
客户端验证 (密码)
HTTP参数污染
HTTP Response Splitting
HTTP Verb Tampering
信息泄露 - Favicon
信息泄露 - Headers
信息泄露 - PHP version
信息泄露 - Robots 文件
不安全的iframe (登录框)
上传漏洞


 其他漏洞:

A.I.M. - No-authentication Mode
Client Access Policy File
Cross-Domain Policy File
Evil 666 Fuzzing Page
Manual Intervention Required!
未被保护的管理后台
We Steal Secrets… (html)
We Steal Secrets… (plain)
WSDL File (Web Services/SOAP)


 

http://blkstone.github.io/2017/10/14/common-web-vulns/



这篇关于常规漏洞的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!


扫一扫关注最新编程教程