启明星辰：Vfsec渗透测试常见web漏洞集合

文档名称：渗透测试常见web漏洞集合 密级:［内部］ 渗透测试常见web漏洞集合 北京启明星辰信息安全技术有限公司 2017年2月 目录 一、认证测试 5 1.1 敏感数据明文传输 5 1.2 后台存在默认密码 5 1.3 新用户使用默认密码 5 1.4 账户无错误锁定机制 6 1.5 认证绕过 6 1.6 认证重放攻击 6 1.7 认证弱口令 6 1.8 不安全的验证码 7 1.9 暴力破解 7 1.10 用户名/账户可以枚举 7 1.11 HTTP认证泄露漏洞 8 二、会话管理 8 2.1 会话固定攻击 8 2.2 URL重定向漏洞 8 2.3 点击劫持漏洞 9 2.4 Apache HttpOnly Cookie泄露 9 2.5 Cookie缺失HttpOnly标识 10 2.6 Cookie缺失Secure属性 10 2.7 Cookie-Domain属性设置不当 10 2.8 请求Token 泄漏 10 2.9 CSRF漏洞 11 2.10 WebLogic SSRF漏洞 11 三、数据校验 12 3.1 XSS跨站脚本攻击-存储型 12 3.2 XSS跨站脚本攻击-反射型