1、弱口令登入
测试username:admin passwd:admin 弱口令登入成功
使用域名访问加载缓慢,试试直接用IP地址访问:Altoro Mutual,成功
2、sql注入
Admin’or 1=1 --+
密码随便写即可,发现成功登录
3、XSS漏洞
在搜索栏输入搜索,结果在网页回显,可能存在xss
构造语句<script>alert(/56zyh/)</script>,弹窗成功
4、发现tomcat版本泄露
这里尝试发现有无文件包含时,发现了页面报错,在页面下方,发现了tomcat的版本信息7.0.92
5、用户信息泄露
登录成功后,在左边可以点击编辑用户,然后在弹出的页面中可以发现若干其他用户名,甚至可以更改其他用户的密码
6、敏感文件泄露
查看页面源代码,发现了一些其他文件路径