AWVS扫描结果中一些常见的高危漏洞总结-长期更新

记录一些高危漏洞,以后再遇见就不用百度找了

Blind SQL Injection

盲注,包括基于时间的盲注和基于布尔盲注

基于时间的盲注总结

基于布尔的盲注总结附脚本

Malware detected

被Google标记为危险站点的。

SQL injection

sql注入,有时候会误报,也包含xml实体注入

xml实体注入

SVN repository found

svn源代码泄露

直接访问http://targetURL/.svn/format or 用seay的源代码泄露工具 或者 https://github.com/admintony/svnExploit svn > 1.7 时,请用笔者的工具

SFTP/FTP credentials exposure

SFTP or FTP配置文件泄露 (类似gitlab)

Sublime text3 连接sftp/ftp(远程服务器)

Microsoft IIS 6.0 WebDAV Buffer Overflow

IIS6.0 远程代码执行漏洞

很多利用工具

Unicode transformation issues [xss绕过]

wvs的Unicode transformation issues的问题

Vulnerabilities in SharePoint could allow elevation of privilege

WebLogic Server Side Request Forgery

WebLogic SSRF 及漏洞修复

Apache 2.2.14 mod_isapi Dangling Pointer

CVE-2010-0425 EXP

Microsoft IIS tilde directory enumeration

iis的端文件名漏洞

XML external entity injection

XML实体注入漏洞总结(XXE)

XML实体注入漏洞

XXE漏洞攻防

Session fixation

什么Session fixation

Long password denial of service

由于未对密码长度进行过滤,导致对过长的密码加密时,过多的消耗服务器的资源。

Configuration file source code disclosure

配置文件代码泄露 index.php~ 由vim产生的备份文件

Directory traversal

目录遍历

WEB-INF

Drupal Core 6.x

Drupal漏洞

Vulnerabilities in SharePoint could allow elevation of privilege

XSS

Java Debug Wire Protocol Remote Code Execution

https://github.com/IOActive/jdwp-shellifier