文章目录
1.【中危】不安全的Javascript库(Vulnerable Javascript library)
漏洞描述
SWFObject库
SWFObject是一个免费的开放源代码工具,用于在网站中嵌入swf内容,SWFObject在Internet Explorer中进行动态嵌入的方法,以使用更友好的W3C方式创建。网站正在使用易受攻击的Javascript库,此版本的Javascript库报告了一个或多个漏洞
YUI库
Yahoo! UI Library (YUI) 是一个开放源代码的 JavaScript 函数库,为了能建立一个高互动的网页,它采用了AJAX, DHTML 和 DOM 等程式码技术。它也包含了许多 CSS 资源。网站正在使用不安全的YUI库,此版本的YUI库被报告了一个或多个漏洞
漏洞危害
SWF文件中存在安全漏洞
漏洞证明
用bp抓包访问url,寻找响应包内Javascript库版本
修复建议
升级到最新版本
2.【中危】缓慢的HTTP拒绝服务攻击(Slow HTTP Denial of Service Attack)
漏洞描述
对任何一个开放了http访问的服务器,建立一个连接,指定一个比较大的content-length,然后以非常低的速度发包HTTP,在连接不断开的情况下,协议要求服务器在处理请求之前将其完全接收。如果HTTP请求未完成,或者传输速率很低,则服务器将使其资源繁忙,以等待其余数据。如果服务器使过多的资源繁忙,则会导致拒绝服务
漏洞危害
攻击者可通过一台机器关闭另一台机器的Web服务器,并且带宽最小,并且对不相关的服务和端口产生副作用