安服仔之常见漏洞名称

admin 2023年6月6日01:56:05评论37 views字数 3734阅读12分26秒阅读模式


Cross-site scripting (XSS)

SQL injection (SQLi)

Cross-site request forgery (CSRF)

Server-side request forgery (SSRF)

Remote code execution (RCE)

File inclusion

Authentication bypass

Information disclosure

XML injection

Clickjacking

Open redirect

Directory traversal

Session hijacking

Buffer overflow

Command injection

LDAP injection

XPath injection

JSON injection

Path traversal

Broken access control

Insufficient authentication and authorization

Insecure direct object references

Insecure communications

Improper error handling

Weak cryptography

Business logic vulnerabilities

Server-side template injection (SSTI)

Server-side script injection (SSSI)

Prototype pollution

Cross-origin resource sharing (CORS) misconfiguration

HTTP response splitting

Object injection

Mass assignment vulnerabilities

Race conditions

HTML injection (also known as injection via untrusted input)

Broken cryptography

Broken authentication and session management

Server-side cache poisoning

Server-side deserialization

Websocket vulnerabilities

Information leakage vulnerabilities

Server-side subdomain takeover

Insecure file upload

Sensitive data exposure

Broken access controls

Click-to-play attacks

Authentication weaknesses

Web cache poisoning

Template injection vulnerabilities

Remote file inclusion (RFI)

Local file inclusion (LFI)

OAuth and OpenID Connect weaknesses

HTTP request smuggling

Insufficient transport layer protection

Insecure storage of sensitive information

Insecure password management

Insecure permissions

Insecure random number generation

Insufficient logging and monitoring

Mobile app vulnerabilities

API vulnerabilities

Business logic flaws

Docker and containerization vulnerabilities

Race conditions

Insecure deserialization

Subdomain takeover

Bypassing rate limits

Social engineering attacks

DNS cache poisoning

Path traversal attacks

Command injection (also known as OS command injection)

XML external entity (XXE) injection

Host header injection

Security misconfigurations

Clickjacking (also known as UI redressing)

HTML5 security issues

HTTPS stripping

DNS rebinding

Cryptographic attacks, such as Padding Oracle attacks and POODLE attacks

Side-channel attacks

Buffer overflows

Time-of-check to time-of-use (TOCTTOU) vulnerabilities

Unvalidated redirects and forwards

Broken function-level authorization

Server-side request forgery (SSRF) with DNS rebinding

Blind SQL injection

Cross-Site WebSocket Hijacking (CSWSH)

Insecure third-party dependencies

Man-in-the-middle (MITM) attacks

HTTP parameter pollution

Exploiting weak password policies

DOM-based XSS

Cross-Site WebSocket Forgery (CSWF)

Cryptographic key management issues

Security misconfigurations in serverless applications

Insecure direct object references in RESTful APIs

Insecure storage of secrets in mobile apps

Insecure deserialization in RESTful APIs

Insufficient monitoring and logging of API activities

Business process vulnerabilities in e-commerce applications

Improper certificate validation in SSL/TLS

Exploiting insecure default configurations of software components

Vulnerabilities in biometric authentication systems

安服仔之常见漏洞名称

跨站脚本(XSS)

SQL注入(SQLi)

跨站请求伪造(CSRF)

服务器端请求伪造 (SSRF)

远程代码执行 (RCE)

文件包含

绕过认证

信息泄露

XML注入

点击劫持

开放式重定向

目录遍历

会话劫持

缓冲区溢出

命令注入

LDAP注入

XPath注入

JSON注入

路径遍历

破解访问控制

不充分的认证和授权

不安全的直接对象引用

不安全的通信

错误处理不当

薄弱的密码学

业务逻辑漏洞

服务器端模板注入(SSTI)

服务器端脚本注入(SSSI)

原型污染

跨源资源共享(CORS)配置错误

HTTP响应拆分

对象注入

大量分配漏洞

条件竞争

HTML注入(也称为通过不受信任的输入注入)

破解的密码学

破解的认证和会话管理

服务器端缓存中毒

服务器端反序列化

Websocket漏洞

信息泄露漏洞

服务器端子域接管

不安全的文件上传

敏感数据暴露

破解访问控制

点击播放攻击

认证弱点

网络缓存中毒

模板注入漏洞

远程文件包含(RFI)

本地文件包含(LFI)

OAuth和OpenID连接的弱点

HTTP请求偷渡

运输层保护不足

敏感信息的不安全存储

不安全的密码管理

不安全的权限

不安全的随机数生成

记录和监控不足

移动应用程序的漏洞

API漏洞

业务逻辑漏洞

Docker和容器化漏洞

竞争条件

不安全的反序列化

子域接管

绕过速率限制

社会工程攻击

DNS缓存中毒

路径穿越攻击

命令注入(也被称为操作系统命令注入)

XML外部实体(XXE)注入

主机标头注入

安全错误配置

点击劫持(也被称为UI重塑)

HTML5安全问题

HTTPS剥离

DNS重新绑定

加密攻击,如Padding Oracle攻击和POODLE攻击

侧信道攻击

缓冲区溢出

检查时间到使用时间(TOCTTOU)的漏洞

无效的重定向和转发

破解功能级授权

服务器端请求伪造(SSRF)与DNS重新绑定

盲目的SQL注入

跨站WebSocket劫持(CSWSH)

不安全的第三方依赖性

中间人(MITM)攻击

HTTP参数污染

利用薄弱的密码策略

基于DOM的XSS

跨站WebSocket伪造(CSWF)

密码学密钥管理问题

无服务器应用程序中的安全错误配置

RESTful API中不安全的直接对象引用

移动应用程序中的秘密存储不安全

RESTful API中的反序列化不安全

对API活动的监控和记录不够充分

电子应用中的业务流程漏洞

SSL/TLS中不正确的证书验证

利用软件组件的不安全默认配置

生物识别认证系统的漏洞


原文始发于微信公众号(Khan安全攻防实验室):安服仔之常见漏洞名称

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年6月6日01:56:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   安服仔之常见漏洞名称http://cn-sec.com/archives/1662477.html

发表评论

匿名网友 填写信息