- 博客(8)
- 收藏
- 关注
RSS订阅原创 web漏洞-用户凭据明文传输
当攻击者获取到这些数据之后,就可以用这些信息以合法用户的身份进入到应用系统中——甚至可能进入到应用系统后台中,一旦进入到应用系统中那么就可以获取更多的敏感数据,以及更有机会发现更多的漏洞。...
2022-06-13 18:00:00
3541
原创 web漏洞-缺少X-Frame-Options标头
当X-Frame-Options HTTP 响应头丢失的时候,攻击者可以伪造一个页面,该页面使用前端技术精心构造一些诱惑用户点击的按钮、图片,该元素下方就是一个iframe标签,当用户点击后上层的元素后,就相当于点击了iframe标签引入的网页页面。......
2022-06-13 12:38:53
13203
1
原创 web漏洞-. idea目录信息泄露
攻击者可以通过分析数据包内容或使程序报错等方式获得网站敏感文件,从而有针对性的进行利用攻击,可能产生的危害包括不限于:SQL注入,代码执行,文件上传,社会工程学攻击等。
2022-06-13 11:32:54
6574
原创 web漏洞-远端WWW服务支持TRACE请求
远端WWW服务支持TRACE请求。RFC 2616介绍了TRACE请求,该请求典型地用于测试HTTP协议实现。
2022-06-13 11:23:15
12352
原创 web漏洞-FTP匿名登录
FTP 弱口令或匿名登录漏洞,一般指使用 FTP 的用户启用了匿名登录功能,或系统口令的长度太短、复杂度不够、仅包含数字、或仅包含字母等,容易被黑客攻击,发生恶意文件上传或更严重的入侵行为。......
2022-06-13 11:00:33
5061
原创 web漏洞-目录遍历
一、漏洞描述目录遍历漏洞是由于网站存在配置缺陷,导致网站目录可以被任意浏览,这会导致网站很多隐私文件与目录泄露,比如数据库备份文件、配置文件等,攻击者利用该信息可以为进一步入侵网站做准备。目录遍历漏洞可能存在于Web服务器软件本身,也可能存在于Web应用程序之中。好比如IIS或者Apache这些中间件若是配置不当,就会造成目录遍历漏洞。目录遍历漏洞和任意文件读取漏洞不一样。目录遍历漏洞是泄露网站的目录结构;任意文件读取不仅泄露网站的目录结构,而且可以直接获得网站文件的内容,...
2022-04-27 09:20:31
4309
原创 web漏洞-物理路径泄露
一、漏洞描述应用中泄露出应用在主机中的绝对地址路径。二、测试方法1.打开网页源代码,查看图片等媒体的链接及超链接;2.通过报错信息获取;3.攻击者可通过获取网站物理路径,为下一步攻击做准备。三、修复方法媒体链接和超链接采用相对路径的表达方式; 报错信息中不对外输出网站物理路径等敏感信息。...
2022-03-15 16:30:00
2879
原创 web漏洞-Jeecg-Boot存在未授权访问
一、介绍Jeecg-Boot是一款基于BPM的低代码平台,零代码开发!采用前后端分离架构: SpringBoot 2.x,Ant Design&Vue,Mybatis-plus,Shiro,JWT。强大的代码生成器让前后端代码一键生成,无需写任何代码!!帮助Java项目解决70%的重复工作,让开发更关注业务逻辑,既能快速提高效率,节省研发成本,同时又不失灵活性!同时具备更强大的低代码能力:Online表单、Online报表、Online图表、表单设计、流程设计、报表设计、大屏设计 等等...
2022-03-15 10:00:30
12972
1
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人