100 个 Web 应用漏洞类型挖掘

admin 2025年6月19日23:13:44评论35 views字数 876阅读2分55秒阅读模式
100 个 Web 应用漏洞类型挖掘
SQL 注入 (SQLi)跨站脚本攻击 (XSS)跨站请求伪造 (CSRF)服务器端请求伪造 (SSRF)XML 外部实体 (XXE)不安全的直接对象引用 (IDOR)远程代码执行 (RCE)命令注入文件包含 (LFI/RFI)目录遍历HTTP 请求走私HTTP 参数污染 (HPP)身份验证失效会话固定会话劫持开放重定向OAuth 配置错误访问控制失效身份验证绕过JWT 漏洞路径遍历子域名接管CORS 配置错误缓存中毒文件不受限制上传批量赋值原型污染缓冲区溢出竞争条件点击劫持不安全的 Cookie敏感数据泄露服务器版本泄露详细错误消息电子邮件标头注入CRLF 注入LDAP 注入XPath 注入模板注入 (SSTI)反序列化攻击密码重置漏洞弱密码策略权限提升输入验证不当主机标头注入速率限制漏洞逻辑漏洞基于 DOM 的 XSSFlash 漏洞失效链接劫持DNS 重新绑定Web 缓存欺骗GraphQL 漏洞利用API 滥用API 密钥泄露错误处理不当验证码绕过SMTP注入信息泄露未加密通信 (HTTP)隐藏端点发现Git 代码库配置错误SVN 信息泄露云存储桶配置错误Elasticsearch/Kibana 实例暴露Jenkins 实例暴露Docker API 配置错误SSH 配置错误易受攻击的依赖项依赖项混淆跨域资源劫持JSON 劫持空字节注入带外 XXE (OOB-XXE)反向 Tab 攻击HTTP 主机头投毒WebSocket 漏洞WebDAV 漏洞利用正则表达式拒绝服务 (ReDoS)内容欺骗打开调试页面备份文件暴露日志文件暴露配置文件暴露HTTP 方法错误使用情况SSL/TLS 配置薄弱SSL 证书配置错误服务器配置错误客户端模板注入Unicode 规范化漏洞FTP 配置错误SMTP 中继滥用双因素身份验证 (2FA) 失效验证码实施薄弱URL 参数中的敏感数据浏览器缓存泄漏管理界面暴露Cookie 范围不当JSON Web Token (JWTNone 算法漏洞安全配置错误

原文始发于微信公众号(TtTeam):100 个 Web 应用漏洞类型挖掘

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年6月19日23:13:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   100 个 Web 应用漏洞类型挖掘https://cn-sec.com/archives/4178737.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息