常见的漏洞

一个个攻破，假以时日，必为大牛！加油！

WEB应用

常规WEB漏洞

• XSS(cross site scripting)
• SQL注入（SQL Injection）
• 代码注入（CODE Injection）
• 命令执行（OS Commanding）
• 本地文件包含（Local File Include）
• 远程文件包含（Remote File Include）
• CSRF（Cross-site Request Forgery）
• SSRF（Server Side Request Forgery）
• 文件上传（File Upload）
• 点击劫持（Click Jacking）
• URL重定向（URL Redirection）
• 条件竞争（Race Condtion）
• XML外部实体攻击（XML External Entity attack）
• XSCH (Cross Site Content Hijacking)
• XML注入（XML Injection）
• LDAP注入（LDAP Injection）
• XPATH注入(XPATH Injection)

业务逻辑漏洞

• 用户体系
• 在线支付
• 顺序执行
• oauth授权
• 本地限制，抓包绕过

Web已公开漏洞

• struts
• elasticsearch
• jboss
• thinkphp
• zabbix
• Discuz!
• phpcms
• CKEditor
• resin文件读取

敏感web系统弱口令或可直接访问

• Apache Tomcat弱口令
• zebra路由
• ganglia信息泄露
• rundeck
• jenkins平台
• zenoss监控系统
• weblogic弱口令
• server-status信息泄露