目录 WEB应用 常规WEB漏洞 业务逻辑漏洞 Web已公开漏洞 敏感web系统弱口令或可直接访问 WEB应用 常规WEB漏洞 XSS(cross site scripting) SQL注入(SQL Injection) 代码注入(CODE Injection) 命令执行(OS Commanding) 本地文件包含(Local File Include) 远程文件包含(Remote File Include) CSRF(Cross-site Request Forgery) SSRF(Server Side Request Forgery) 文件上传(File Upload) 点击劫持(Click Jacking) URL重定向(URL Redirection) 条件竞争(Race Condtion) XML外部实体攻击(XML External Entity attack) XSCH (Cross Site Content Hijacking) XML注入(XML Injection) LDAP注入(LDAP Injection) XPATH注入(XPATH Injection) 业务逻辑漏洞 用户体系 在线支付 顺序执行 oauth授权 本地限制,抓包绕过 Web已公开漏洞 struts elasticsearch jboss thinkphp zabbix Discuz! phpcms CKEditor resin文件读取 敏感web系统弱口令或可直接访问 Apache Tomcat弱口令 zebra路由 ganglia信息泄露 rundeck jenkins平台 zenoss监控系统 weblogic弱口令 server-status信息泄露
