Web中间件常见漏洞总结

最新推荐文章于 2024-05-17 03:13:15 发布
最新推荐文章于 2024-05-17 03:13:15 发布
阅读量1.9k 收藏 8
点赞数 1
分类专栏: 中间件漏洞 文章标签: django 安全 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48985780/article/details/121379751
版权

一、IIS中间组件:

1、PUT漏洞

2、短文件名猜解

3、远程代码执行

4、解析漏洞

二、Apache中间组件:

1、解析漏洞

2、目录遍历

三、Nginx中间组件:

1、文件解析

2、目录遍历

3、CRLF注入

4、目录穿越

四、Tomcat中间组件:

1、Tomcat后台弱口令上传war包

2、Tomcat的PUT的上传漏洞(CVE-2017-12615)

3、Tomcat反序列化漏洞(CVE-2016-8735)

4、Tomcat JMX服务器弱口令

5、Tomcat 样例目录session操控漏洞

6、Tomcat本地提权漏洞(CVE-2016-1240)

7、Tomcat win版默认空口令漏洞(CVE-2009-3548)

五、jBoss中间组件:

1、反序列化漏洞

2、war后门文件部署

六、WebLogic中间组件:

1、反序列化漏洞

2、SSRF

3、任意文件上传

4、war后门文件部署

七、其它中间件相关漏洞:

1、FastCGI未授权访问、任意命令执行

2、PHPCGI远程代码执行

xzhome
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web中间件常见漏洞总结.pdf
06-14
Web中间件常见漏洞总结
web中间件常见漏洞总结.pdf
12-14
以下是对这些常见漏洞的详细总结: 1. **SQL注入**:当Web应用未能正确过滤或转义用户输入的数据时,攻击者可以插入恶意SQL语句,从而获取敏感信息、篡改数据甚至完全控制数据库。 2. **跨站脚本(XSS)**:XSS...
中间件漏洞小结
qq_43211396的博客
01-25 817
最近不准备挖SRC了,沉淀一下学学知识。 常见web中间件 iis,apache,tomcat,nginx,jboss, Weblogic 1.1 PUT漏洞 IIS6.0 IIS Server 在 Web 服务扩展中开启了 WebDAV ,配置了可以写入的权限,造成任意文件上传。 用burpsuite 提交OPTIONS 查看支持的协议 PUT /test.txt HTTP/1.1 Host: upload.moonteam.com Content-Length: 25 &
Web中间件常见安全漏洞总结_web中间件常见漏洞总结
最新发布
2301_82244182的博客
05-17 734
PHP根据URL映射,在服务器上寻找xxx.php文件,但是xxx.php不存在,又由于cgi.fix_pathinfo默认是开启的,因此PHP会继续检查路径中存在的文件,并将多余的部分当作 PATH_INFO。它快速、可靠并且可通过简单的API扩充,将Perl/Python等解释器编译到服务器中。另外,IIS6.x除了会将扩展名为.asp的文件解析为asp之外,还默认会将扩展名为.asa,.cdx,.cer解析为asp,从网站属性->主目录->配置 可以看出,他们都是调用了asp.dll进行的解析。
Web中间件常见漏洞
weixin_67813445的博客
04-19 1273
apache默认一个文件可以有多个以点切割的后缀,当最右的后缀无法识别时,就继续向左识别,直到识别到合法后缀才开始解析,如xxx.php.qqq,qqq无法识别,就继续解析,到php时能够识别,就解析为php文件。由于nginx.conf的如下配置导致nginx把以’.php’结尾的文件交给fastcgi处理,对于任意文件名,在后面添加/xxx.php(xxx)为任意字符后,即可将文件作为php解析。访问构造某个存在的短文件,会返回404,访问构造某个不存在的短文件,会返回400。
深入浅出带你学习JBoss中间件常见漏洞
Spontaneous_0的博客
02-19 508
深入浅出带你学习JBoss中间件常见漏洞
web中间件漏洞
F2444790591的博客
06-24 768
文件解析漏洞主要由于网站管理员操作不当或者 Web 服务器自身的漏洞,导致一些特殊文件被 IIS、apache、nginx 或其他 Web服务器在某种情况下解释成脚本文件执行。 大部分的解析漏洞还是由于web服务器自身的漏洞,导致特殊文件被当成脚本文件执行了。 在IIS5.x/6.0 中,在网站下建立文件夹的名字为*.asp、*.asa、*.cer、*.cdx 的文件夹,那么其目录内的任何扩展名的文件都会被IIS当做asp文件来解释并执行。例如创建目录 test.asp,那么 /test.as
Web中间件常见漏洞总结(免积分)
02-09
总之,了解并防御这些Web中间件常见漏洞对于任何运维人员都至关重要。通过实施最佳实践,监控系统行为,定期审计和更新安全策略,我们可以大大降低Web应用程序遭受攻击的风险。记住,安全不是一次性的任务,而是...
web中间件常见漏洞分析
08-17
web中间件常见漏洞分析
web一些中间件常见漏洞总结
10-25
web一些中间件常见漏洞总结
信息泄露漏洞挖掘技巧20200429.docx
04-29
总计信息泄露漏洞的挖掘、利用、修补方式,主要包括.svn源代码泄露.git源代码泄露、httpsys漏洞检测以及利用方式,常见中间件的后台登录页面以及默认用户名密码。用于挖掘常见信息泄露漏洞,仅供学习使用
JBoss中间件漏洞汇总
混子
11-18 1万+
目录 一、JBoss是什么? 二、安装环境 1. Jdk 2. 下载JBoos4、6,并进行配置 三、 反序列漏洞 1. HttpInvoker 组件(CVE-2017-12149) 2. JMXInvokerServlet组件(CVE-2015-7501) 3. JBossMQ(CVE-2017-7504) 4.EJBInvokerServlet组件(CVE-2013-4810) 四、 War后门文件部署 1. admin-cosole(爆红接着传) 2. JMX-console.
常见中间件漏洞总结
热门推荐
爱上卿的博客
01-25 1万+
1. Weblogic常见漏洞 2. Tomcat常见漏洞 3. Nginx常见漏洞 4. JBOSS常见漏洞 中间件简介 中间件是一种独立的系统软件或服务程序,分布式应用软件借助这种 软件在不同的技术之间共享资源。中间件位于客户机/ 服务器的操作系统 之上,管理计算机资源和网络通讯。是连接两个独立应用程序或独立系统 的软件。相连接的系统,即使它们具有不同的接口,但通过中间件相互之 间仍能交...
常见中间件漏洞总结
qq_40898302的博客
06-07 9060
常见中间件漏洞总结
web常见中间件漏洞之IIS中间件漏洞
qq_52486507的博客
03-30 1122
1.IIS是Internet Information Services的缩写,意为互联网信息服务,是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。2.IIS一般适用于windows系统,而不适用于其它系统。
iis常见漏洞中间件常见漏洞
qq_56438857的博客
08-17 9017
漏洞的意义:1、 猜解后台地址2、 猜解敏感文件,例如备份的rar、zip、.bak、.sql文件等。3、 在某些情形下,甚至可以通过短文件名web直接下载对应的文件。该漏洞的局限性:1、 只能猜解前六位,以及扩展名的前三位。2、 名称较短的文件是没有相应的短文件名的。3、 不支持中文文件名4、 如果文件名前6位带空格,8.3格式的短文件名会补进,和真实文件名不匹配5、 需要IIS和.net两个条件都满足。...
Web中间件漏洞复现合集---IIS篇
ierciyuan的博客
11-05 5662
复现IIS常见的一些漏洞,包括PUT漏洞、短文件名猜解、远端代码执行(cve-2017-7269/ms-15-034)、解析漏洞等。提供IIS6.0.exe、iiswrite等工具。
如何入门漏洞挖掘,以及提高自己的挖掘能力
键盘的起始页
04-09 1261
0x01:前言 大家好我是米斯特团队的一员,我的id香瓜,我们团队在这次i春秋第二次漏洞挖掘大赛中,包揽了前五名,我key表哥一不小心拿了一个第一,导致很多人来加他好友问他,如何修炼漏洞挖掘能力,我今天帮大家解答一下这个疑问,哈哈哈。 漏洞挖掘是安全圈的一个核心之一,但是随着各大厂商安全意识的增强,以及各类waf的出现。一些像sql注入,文件上传,命令执行这些漏洞也不是那...
web中间件常见漏洞
09-02
常见Web中间件漏洞包括: 1. 跨站脚本攻击 (XSS):攻击者通过在Web应用程序中注入恶意脚本,从而在用户浏览器中执行恶意代码。 2. 跨站请求伪造 (CSRF):攻击者利用被攻击用户的身份,发送恶意请求来执行未经...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值