常见web漏洞(awvs、nessus)验证方法小记-中危漏洞

最新推荐文章于 2024-09-06 17:32:37 发布
最新推荐文章于 2024-09-06 17:32:37 发布
阅读量1.1w 收藏 54
点赞数 7
文章标签: 安全 nessus
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43875708/article/details/104820869
版权

文章目录

1.【中危】不安全的Javascript库(Vulnerable Javascript library)

漏洞描述

SWFObject库

SWFObject是一个免费的开放源代码工具,用于在网站中嵌入swf内容,SWFObject在Internet Explorer中进行动态嵌入的方法,以使用更友好的W3C方式创建。网站正在使用易受攻击的Javascript库,此版本的Javascript库报告了一个或多个漏洞

YUI库

Yahoo! UI Library (YUI) 是一个开放源代码的 JavaScript 函数库,为了能建立一个高互动的网页,它采用了AJAX, DHTML 和 DOM 等程式码技术。它也包含了许多 CSS 资源。网站正在使用不安全的YUI库,此版本的YUI库被报告了一个或多个漏洞

漏洞危害

SWF文件中存在安全漏洞

漏洞证明

用bp抓包访问url,寻找响应包内Javascript库版本
在这里插入图片描述

修复建议

升级到最新版本

2.【中危】缓慢的HTTP拒绝服务攻击(Slow HTTP Denial of Service Attack)

漏洞描述

对任何一个开放了http访问的服务器,建立一个连接,指定一个比较大的content-length,然后以非常低的速度发包HTTP,在连接不断开的情况下,协议要求服务器在处理请求之前将其完全接收。如果HTTP请求未完成,或者传输速率很低,则服务器将使其资源繁忙,以等待其余数据。如果服务器使过多的资源繁忙,则会导致拒绝服务

漏洞危害

攻击者可通过一台机器关闭另一台机器的Web服务器,并且带宽最小,并且对不相关的服务和端口产生副作用

最低0.47元/天 解锁文章
鱼翅的谷仓
关注
Vulnerable Javascript library漏洞记录
NLstudy33的博客
09-26 992
AWVS扫出来Vulnerable Javascript library漏洞,然后查询资料,验证漏洞,仅做记录
常见web漏洞awvsnessus验证方法小记-低危漏洞
热门推荐
weixin_43875708的博客
03-12 1万+
文章目录1.【低危】未加密的连接(Unencrypted connection)漏洞描述漏洞危害漏洞证明修复建议2.【低危】SSL弱加密(主机漏洞漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie缺少HttpOnly标志(Cookie(s) without HttpOnly flag set)漏洞描述漏洞危害漏洞证明修复建议【低危】Cookie缺少secure属性(Cookie(s) wi...
【XSS漏洞-01】XSS漏洞简介、危害与分类及验证
最新发布
VN520的博客
09-06 1189
定义/原理:跨站脚本(Cross-Site Scripting),本应该缩写为CSS,但是该缩写已被层叠样式脚本Cascading Style Sheets所用,所以改简称为XSS。也称跨站脚本或跨站脚本攻击。跨站脚本攻击XSS通过将恶意得Script代码注入到Web页面,当用户浏览该页之时,嵌入其Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。本质:是一种针对网站应用程序安全漏洞攻击技术,是代码注入的一种。特点:XSS主要基于JavaScript。
安全测试重点思考(上)--AWVS使用/XSS漏洞复现
JennyXi2001的博客
04-03 1561
DVWA 一共包含了十个攻击模块,分别是:Brute Force(暴力(破解))、Command Injection(命令行注入)、CSRF(跨站请求伪造)、- File Inclusion(文件包含)、File Upload(文件上传)、Insecure CAPTCHA (不安全验证码)、SQL Injection(SQL注入)、SQL Injection(Blind)(SQL盲注)、XSS(Reflected)(反射型跨站脚本)、XSS(Stored)(存储型跨站脚本)。
未加密的__VIEWSTATE参数(中危
qq_44828901的博客
12-29 5991
复现危害较低的漏洞:未加密的__VIEWSTATE参数
记录一个等保二的项目的漏洞处理
05-12 1万+
一、高危漏洞: 1、HTTP.sys remote code execution vulnerability(HTTP.sys 远程代码执行漏洞漏洞描述: HTTP 协议栈 (HTTP.sys) 存在一个远程执行代码漏洞,该漏洞是由于 HTTP.sys 不正确地分析特制 HTTP 请求而导致的。 成功利用此漏洞的攻击者可以在系统帐户的上下文执行任意代码。 对于 Windows 7、Windows Server 2008 R2、Windows 8、Windows Server 2012、Wind
工具Acunetix web scanner 扫描的漏洞修复
qq_31949853的博客
12-17 4824
1、HTML form without CSRF protection 解决:添加一个 <input type="hidden" name="session"  autocomplete="off"  class="layui-input" value="12345"/> 其value的值是从后台传递过来的,提交表单时验证 2、User credentials are se
ASP.NET页面的"__VIEWSTATE"隐藏域
lvzenghui的专栏
04-17 488
这是由于使用了服务器端表单的原因,去掉form标签的 Runat="Server" 即可,但这样也就不能在页面使用服务器端的控件了。
常见网站安全漏洞处理
liudao1991的专栏
08-10 1万+
1. Sql盲注 解决方法:添加过滤 2. Sql注入 解决方法:修改底层代码消除参数化查询 3. iis文件与目录枚举/Directory listing 解决方法:禁止目录浏览 4. webdav目录遍历 解决方法:http://www.45it.com/net/201208/31779.htm 5. _VIEWSTATE未加密 解决...
html创建scrpts方法,web安全扫描问题(常见的)分析以及解决方式
weixin_39745269的博客
06-16 355
这是我上午扫描的一个网站很多地方地方不懂 在网上查了严重问题有Session fixtion,vulnerable javascript library..1.什么是sessionfixation攻击Session fixation有人翻译成“Session完成攻击”,实际上fixation是确知和确定的意思,在此是指Web服务的会话ID是确知不变的,攻击者为受害着确定一个会话ID从而达到攻击...
is-website-vulnerable:在网站的前端JavaScript库查找公开的安全漏洞
02-04
网站易受攻击 在网站的前端JavaScript库发现公开的安全漏洞 非常感谢 用于支持开源安全性 关于 在网站的前端JavaScript库查找公开的安全漏洞。 用法 命令行 使用Node.js的npx对网站进行一次性扫描: npx is-website-vulnerable https://example.com [--json] [--js-lib] [--mobile | --desktop] [--chromePath] [--cookie] [--token] CLI会提示您输入要输入的URL,从而妥善处理缺少要扫描的URL的情况: $ npx is-website-vul
ViewState查看工具(ViewStateDecoder)
09-27
ASP.NET应用程序,页面有一个隐藏标记: <input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwUJMjgzMDgzOTgzZGTK+g48a8tfAcXS7AaRfL/dvsvLTw==" /> 用来存放可转换为字符串格式的信息,主要存放页面Web 控件数据的状态,主要功能是支持 Web 控件的持久性。 这些信息是加密的,本工具可对这些信息进行解密、查看...
swfobject_modified.js
10-30
swfobject_modified.js
SwfObject新发现
红杉树(ecitnet)的博客
01-23 848
在SwfObject解决Html与Flash之间传递参数问题一文已经介绍了SwfObject的用法,但今天发现so.write(”flashcontent”);如果”flashcontent”为table的id,那么在IE无法加载Flash.这个问题很好解决,只要建一个一行一列的table,把id加到单元格上就不会出问题了。注:”flashcontent”为表格或div的id。运行时带有
asp.net当服务器出错时显示指定的错误页面,同时把错误信息写入系统日志文件...
weixin_34075551的博客
07-20 118
一、在Web.config填写出错时显示页面,可以根据不同的statusCode显示不同的出错页面。 代码 <customErrorsmode="On"defaultRedirect="/error/customerrorpage.aspx">//Off则关闭<errorstatusCode="404"redirect="/error...
SWFObject 2.0
cityvulture的专栏
03-19 1071
SWFObject 2.0 文文档 感谢 译者的分享http://farthinker.cn/documents/swfobject-2-documentation/在对SWFObject2.0 的几种嵌入方法进行测试之后,发现使用 js动态嵌入的方法,虽然代码精简,但是在需要在与页面js 脚本通讯(As 通过 ExternalInterface 定义页面脚本接口)的 场合不适用,可能是SW
FlashObject/SWFobject 详细配置---遗漏的知识点
sgear
01-19 3676
FlashObject/SWFobject 详细配置 来源:   作者:
提升Web开发安全常见漏洞修复策略与测试步骤
本文将着重讨论Web开发常见的几个漏洞及其解决方法,这些漏洞包括SQL注入漏洞、跨站脚本攻击(XSS)、登录后台管理页面、IIS短文件/文件漏洞以及系统敏感信息泄露等。面对这些问题,开发者应具备足够的安全意识...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值