常见漏洞描述、漏洞影响及修复建议,为规范的渗透测试报告提供参考。
- 跨站脚本攻击
- SQL注入
- 违反访问控制(水平权限升级)
- 违反访问控制(垂直权限升级)
- 会话Cookies未被标记为HTTPOnly
- 会话Cookies未被标记为Secure
- 任意文件上传
- 未经验证的重定向
- 潜在的点击劫持
- 内部 IP 地址泄露
- 在Web服务器上发现不必要的文件
- 缺少防范暴力破解的措施
- 用户名枚举
- 邮箱轰炸攻击
- 服务器支持低版本TLS协议
- 服务器支持SSL弱密码套件
来自公网,回报公网,感谢所有人的贡献。
详情参见./Reference