Teams Six
【漏洞笔记】Robots.txt站点文件 【漏洞笔记】Robots.txt站点文件
0x00 概述漏洞名称:Robots.txt站点文件 风险等级:低 问题类型:服务器设置问题 0x01 漏洞描述Robots.txt文件中声明了不想被搜索引擎访问的部分或者指定搜索引擎收录指定的部分。 此信息可以帮助攻击者得到网站部分文件
2019-11-27
【漏洞笔记】Host头攻击 【漏洞笔记】Host头攻击
0x00 概述漏洞名称:Host头攻击 风险等级:低 问题类型:管理员设置问题 0x01 漏洞描述Host首部字段是HTTP/1.1新增的,旨在告诉服务器,客户端请求的主机名和端口号,主要用来实现虚拟主机技术。 运用虚拟主机技术,单个主机
2019-11-27
【漏洞笔记】ASP.NET允许文件调试 【漏洞笔记】ASP.NET允许文件调试
0x00 概述漏洞名称:ASP.NET允许文件调试 风险等级:低 问题类型:管理员设置问题 0x01 漏洞描述发送DEBUG动作的请求,如果服务器返回内容为OK,那么服务器就开启了调试功能,可能会导致有关Web应用程序的敏感信息泄露,例如密
2019-11-26
【漏洞笔记】IIS短文件名泄露 【漏洞笔记】IIS短文件名泄露
0x00 概述漏洞名称:IIS短文件名泄露 风险等级:低 问题类型:信息泄露 0x01 漏洞描述此漏洞实际是由HTTP请求中旧DOS 8.3名称约定(SFN)的代字符(〜)波浪号引起的。 为了兼容16位MS-DOS程序,Windows为文
2019-11-26
【漏洞笔记】测试目录 【漏洞笔记】测试目录
0x00 概述漏洞名称:测试目录 风险等级:低 问题类型:信息泄露 0x01 漏洞描述Web应用程序在开发过程中,程序员为了测试代码功能,在Web目录下新建测试目录,存放测试代码,可能包含敏感信息。 0x02 漏洞危害攻击者读取测试目录信
2019-11-25
【漏洞笔记】测试文件 【漏洞笔记】测试文件
0x00 概述漏洞名称:测试文件 风险等级:低 问题类型:信息泄露 0x01 漏洞描述Web应用程序在开发过程中,程序员为了测试代码功能,在Web目录下新建测试目录,存放测试代码,可能包含敏感信息。 0x02 漏洞危害攻击者读取测试文件信
2019-11-25
【漏洞笔记】敏感文件 【漏洞笔记】敏感文件
0x00 概述漏洞名称:敏感文件 风险等级:低 问题类型:信息泄露 0x01 漏洞描述由于网站运维人员疏忽,存放敏感信息的文件被泄露或由于网站运行出错导致敏感信息泄露。 Web应用程序显露了某些文件名称,此信息可以帮助攻击者对站点进一步的攻
2019-11-23
【漏洞笔记】敏感目录 【漏洞笔记】敏感目录
0x00 概述漏洞名称:敏感目录 风险等级:低 问题类型:信息泄露 0x01 漏洞描述目标服务器上存在敏感名称的目录。如/admin、/conf、/backup、/db等这些目录中有可能包含了大量的敏感文件和脚本,如服务器的配置信息或管理脚
2019-11-23
【漏洞笔记】基于HTTP连接的登录请求 【漏洞笔记】基于HTTP连接的登录请求
0x00 概述漏洞名称:基于HTTP连接的登录请求 风险等级:低 问题类型:信息泄露 0x01 漏洞描述应用程序使用HTTP连接接受客户端的登录请求,如果登录请求数据没有加密处理,有可能被攻击者嗅探到客户提交的请求数据,请求数据中一般包含用
2019-11-21
【漏洞笔记】jQuery跨站脚本 【漏洞笔记】jQuery跨站脚本
0x00 概述漏洞名称:jQuery跨站脚本 风险等级:低危 问题类型:使用已知漏洞的组件 0x01 漏洞描述关于jQuery:jQuery是美国程序员John Resig所研发的一套开源、跨浏览器的JavaScript库。该库简化了HTM
2019-11-20
【漏洞笔记】X-Frame-Options Header未配置 【漏洞笔记】X-Frame-Options Header未配置
0x00 概述漏洞名称:X-Frame-Options Header未配置 风险等级:低危 问题类型:管理员设置问题 0x01 漏洞描述X-Frame-Options HTTP 响应头是用来给浏览器指示允许一个页面可否在<忽略fram
2019-11-19